A Uber confirmou através do Twitter que sofreu um incidente de segurança e que está investigando o caso. Aparentemente, a empresa foi vítima de um acesso indevido a vários de seus sistemas na última quinta-feira (15). O criminoso enviou capturas de tela de e-mails, serviços de armazenamento em nuvem e repositórios de código para pesquisadores e meios de comunicação como o jornal americano New York Times para provar que realmente teve acesso aos sistemas.
O atacante revelou ao New York Times que, para ter acesso aos sistemas da Uber, foi necessário enganar a um funcionário da empresa através de engenharia social para acessar a sua VPN.
O pesquisador Sam Curry disse ao New York Times que trocou mensagens com a pessoa que afirma ser responsável pelo ataque. A pessoa enviou ao pesquisador capturas de tela para provar que tinha obtido acesso total a uma parte crítica da infraestrutura tecnológica da Uber, incluindo: acesso a contas de administrador, servidores Amazon Web Service, painel HackerOne com relatórios de vulnerabilidades, canal Slack, acesso a contas de administrador do vSphere e do Google Suite.
De acordo com Curry, aparentemente se trata de um ataque total aos sistemas:
Someone hacked an Uber employees HackerOne account and is commenting on all of the tickets. They likely have access to all of the Uber HackerOne reports. pic.twitter.com/00j8V3kcoE
— Sam Curry (@samwcyo) September 16, 2022
Além disso, a Uber pediu aos seus funcionários que não usassem a plataforma de comunicação Slack da companhia já que posteriormente a ferramenta deixaria de ser usada.
Aparentemente, havia uma rede compartilhada que continha scripts do powerhell e um deles contava com os dados de acesso para um usuário com permissões de administrador de uma solução chamada PAM da thycotic que é usada para o gerenciamento de acessos privilegiados, o que fez com que o cibercriminoso tivesse acesso ao resto dos serviços.
Nesta sexta-feira (16), a Uber publicou uma atualização sobre o incidente no Twitter, destacando alguns pontos:
- Até o momento, não há evidências de que o cibercrimoso tenha tido acesso a informações sensíveis dos usuários, como o histórico de viagens;
- Todos os serviços através dos aplicativos, como Uber ou Uber Eats, estão funcionando normalmente;
- A empresa relatou o incidente às autoridades;
- As ferramentas de uso interno que estavam fora do ar voltaram a funcionar na manhã desta sexta-feira (16).
Segundo informações do jornalista do New York Times, Kelvin Roose, uma pessoa que alega ser a responsável pelo ataque à Uber entrou em contato com o jornal, disse que tinha 18 anos de idade e que realizou o ataque porque a segurança digital da empresa era fraca.
Este não é o primeiro caso de atacantes que conseguem acesso à rede de uma empresa depois de enganar um funcionário com engenharia social. Observamos isso com o Twitter, no ataque de um ransomware contra a EA Sports e, recentemente, no ataque ao sidechain da Ronin.
