Actualizado el 16/9.
Uber confirmó a través de Twitter que sufrió un incidente de seguridad y que está investigando lo sucedido. Al parecer, la compañía fue víctima este jueves del acceso indebido a varios de sus sistemas y el atacante envió a investigadores y a medios como el New York Times (NYT), que dio a conocer la noticia, capturas de pantalla de correos, servicios de almacenamiento en la nube y repositorios de código para demostrar que había logrado acceder a los sistemas.
Según afirmó el atacante al medio, para acceder a los sistemas de Uber primero engañaron a través de ingeniería social a un empleado, lograron acceso a su VPN y luego escanearon la Intranet. Vice, por su parte, reportó que el atacante primero robó credenciales de un colaborador de Uber. Luego envió al empleado en el transcurso de una hora varias notificaciones push para que acepte o rechace un intento de inicio de sesión. Y si bien el empleado de Uber no validó estos inicios de sesión, el atacante lo contactó por WhatsApp diciendo que era un trabajador del área de TI de Uber y que para detener las notificaciones push debía aceptar.
El investigador Sam Curry dijo a NYT que intercambió mensajes con quien asegura ser el responsable del ataque. Éste le envió capturas para demostrar que habría logrado acceso completo a una parte importante y crítica de la infraestructura tecnológica de Uber, como son: acceso a cuentas de administrador, a los servidores de Amazon Web Service, el panel de HackerOne con el reporte de las vulnerabilidades, el canal de Slack, acceso a cuentas de administrador de vSphere y de Google Suite.
Según Curry, parece que se trata de un compromiso total de sus sistemas:
Someone hacked an Uber employees HackerOne account and is commenting on all of the tickets. They likely have access to all of the Uber HackerOne reports. pic.twitter.com/00j8V3kcoE
— Sam Curry (@samwcyo) September 16, 2022
Por otra parte, se solicitó a quienes trabajan en Uber no utilizar la plataforma de comunicación Slack, que luego fue puesta fuera de servicio.
Aparentemente había una red compartida que contenía scripts de powershell y uno de estos scripts contenía las credenciales de acceso para un usuario con permisos de administrador de una solución llamada PAM de thycotic que es utilizada para la gestión de accesos privilegiados. Y desde aquí parecería ser que accedieron al resto de los servicios.
El día viernes Uber publicó a través de Twitter información actualizada con respecto al incidente y puntualizó lo siguiente
- Hasta el momento no hay evidencia de que los actores maliciosos hayan accedido a información sensible de usuarios y usuarias, como el historial de viajes.
- Todos los servicios a través de las apps, como Uber o Uber Eats, están operativos.
- La compañía reportó el incidente a las autoridades.
- Volvieron a estar operativas en la mañana del viernes herramientas de uso interno que fueron interrumpidas en el día de ayer por precaución.
Según informó el periodista de NYT, Kevin Roose, una persona que asegura ser la responsable del ataque a Uber se comunicó con el medio y dijo que tiene 18 años y que realizó el ataque porque la seguridad era débil.
Este no es el primer caso en el que atacantes logran acceder a la red de una compañía tras engañar a un empleado con ingeniería social. Lo vimos con Twitter, en el ataque de ransomware a EA Sports y recientemente en el ataque al sidechain Ronin.