Uber zhakowany. 18‑latek przyznał się do ataku

Uber, jedna z największych na świecie firm świadczących usługi w zakresie przewozu ludzi i dostarczania jedzenia, została zhakowana. Do ataku przyznał się pewien 18-latek. Incydent związany z cyberbezpieczeństwem rzucił światło na słabe punkty systemów bezpieczeństwa firmy.

Uber, w nocy 16 września 2022 r. wydał komunikat na Twitterze, wskazując, że jego zespół ekspertów reaguje na incydent cyberbezpieczeństwa. Firma wspomniała we wpisie, że jest w kontakcie z organami ścigania i dostarczy aktualizacje, gdy tylko będą dostępne.

Tymczasem do redakcji The New York Times zgłosił się 18-latek, który twierdzi, że jest odpowiedzialny za atak. Haker miał wysłać do badaczy cyberbezpieczeństwa i serwisu wiadomość, w której wyjaśnił, że włamał się do systemów Ubera, ponieważ "mieli słabe zabezpieczenia". Dokonał tego, bo jego zdaniem pracownicy Ubera mają zbyt niskie pensje i zasługują na podwyżkę.

Według obecnych ustaleń, żadne dane nie trafiły do sieci. Nie oznacza to jednak, że haker nie ma zamiaru ich udostępnić. Dla własnego bezpieczeństwa najlepiej zmieńcie hasło na swoim koncie w Uber, ale także we wszystkich innych serwisach/usługach, w których korzystaliście z identycznej kombinacji haseł.

Sam Curry - łowca błędów i inżynier bezpieczeństwa - niezaangażowany w domniemane włamanie zamieścił na Twitterze komentarz przypisywany pracownikowi Ubera, który chciał pozostać anonimowy. Według niego kazano mu przestać korzystać ze Slacka, a za każdym razem, gdy chciał wejść na pracowniczą witrynę, był przenoszony na stronę z obrazem pornograficznym i wulgarną wiadomością. Inny łowca błędów opublikował na Twitterze zrzut ekranu, rzekomo pochodzący od hakera, w którym stwierdza on: "Ogłaszam, że jestem hakerem, a Uber doznał naruszenia danych".

Bill Demirkapi, jeden z członków zespołu w Microsoft MSRC Vulnerability and Mitigations, w długim wątku na Twitterze przedstawił szczegóły dotyczące tego, jak hakerowi udało się przeniknąć do systemów Ubera oraz wskazał, do czego ma dostęp. Według niego był on w stanie uzyskać dostęp do systemu Ubera za pomocą socjotechniki. Metoda ta opiera się na omylności ludzi, którzy nie zwracają uwagi na poprawność adresu URL lub wystawiają wrażliwe dane na tacy. Po uzyskaniu dostępu, haker był w stanie wykorzystać VPN ofiary, aby "przeniknąć do sieci wewnętrznej".

"Wydaje się, że atakujący uzyskał dostęp do sieci wewnętrznej, która zawierała skrypty z uprzywilejowanymi danymi uwierzytelniającymi, dając mu klucze do królestwa" – pisze Demirkapi. "Twierdzi, że naruszył środowiska Uber Duo, OneLogin, AWS i GSuite".

Bleeping Computer kontaktował się z domniemanym hakerem i widział zrzuty ekranu pokazujące dostęp do "krytycznych systemów IT Ubera", które obejmują oprogramowanie zabezpieczające, konsolę Amazon Web Services, pulpit administratora poczty Google Workspace i wspomniany serwer Slack.

Wygląda również na to, że haker uzyskał dostęp do konta Ubera na platformie HackerOne, zostawiając komentarze pod wieloma zgłoszeniami. Może to okazać się jednym z najcenniejszych zasobów z punktu widzenia atakującego, ponieważ twierdzi on, że pobrał raporty o podatności Ubera. Marten Mickos, dyrektor generalny HackerOne, stwierdził, że konto Ubera zostało zablokowane, a firma współpracuje z Uberem, aby pomóc w śledztwie.