Uber è stato hackerato da un adolescente: ecco cosa sappiamo finora

Pubblicato: 2022-09-19

AGGIORNAMENTO 16/09/2022 13:56 ET: Uber ha risposto al rapporto del New York Times. La società afferma di non avere prove che si sia avuto accesso a una data sensibile e che le forze dell'ordine siano state informate. Leggi il rapporto originale di seguito.

Il gigante del ridesharing Uber oggi ha confermato che è stato violato. L'attaccante, parlando al New York Times , afferma di essere penetrato nei sistemi di ingegneria e comunicazione interni dell'azienda.

Questo incidente è strano a così tanti livelli. Sebbene l'entità dell'intrusione rimanga poco chiara, ciò che sappiamo è davvero sorprendente.

Utilizzando le poche informazioni che abbiamo, analizzeremo questo incidente, analizzeremo la risposta di Uber ed esploreremo tutte le possibili conseguenze per i motociclisti Uber.

L'attaccante

Ecco la buona notizia: l'attaccante non sembra operare come parte di una banda criminale a scopo di lucro o di un gruppo di hacker sponsorizzato dallo stato.

L'hacker, infatti, appare motivato dalla curiosità e dal desiderio di trasgredire le difese digitali della compagnia di taxi più preziosa del mondo.

Come facciamo a saperlo? In primo luogo, l'attaccante è stato abbastanza sincero riguardo alle proprie motivazioni. Parlando al New York Times , hanno affermato di essere un appassionato di sicurezza informatica di 18 anni.

Perché Uber è entrato nel mirino? Perché l'attaccante ha affermato che "aveva una sicurezza debole".

Inoltre, hanno annunciato la loro presenza a Uber. Dopo aver ottenuto l'accesso ai suoi sistemi interni, l'hacker ha pubblicato un messaggio di Slack che diceva: "Annuncio di essere un hacker e Uber ha subito una violazione dei dati".

I veri attori malintenzionati tendono a rimanere in silenzio il più a lungo possibile. Oppure agiscono in modo decisivo per paralizzare l'azienda per ottenere un forte riscatto. Nessuna di queste cose è successa qui.

Il messaggio Slack chiedeva anche a Uber di pagare di più i suoi driver e elencava diversi database interni. Come colpo di grazia finale, l'attaccante, secondo il New York Times , ha pubblicato "una foto esplicita su una pagina informativa interna per i dipendenti".

L'attacco

Uber, quello che devi sapere, il thread.

1) pic.twitter.com/CXU75bqrZU
— Kevin Beaumont (@GossiTheDog) 16 settembre 2022

Al momento in cui scrivo, Uber deve ancora pubblicare la sua autopsia sull'incidente di sicurezza. È comprensibile. Questa storia è molto fresca.

Dovremo fare affidamento sulla testimonianza dell'attaccante e sui rapporti del NYT , per chiarezza qui. Secondo il documento, l'attaccante ha utilizzato semplici tattiche di ingegneria sociale.

Hanno convinto un dipendente a consegnare la password fingendo di essere una "persona dell'informatica aziendale".

Quello che è successo dopo rimane oscuro. Una fonte del NYT ha affermato che l'attacco era un "totale compromesso" dei sistemi di Uber.

Ma c'è una differenza tra un compromesso e una violazione catastrofica. Il punto in cui un incidente si trova su uno di quei poli dipende in gran parte dall'intento.

Se l'attaccante ha esfiltrato enormi quantità di dati degli utenti e li ha venduti, o ha tenuto l'azienda in ostaggio, come con l'hacking di Uber del 2017, l'incidente rientra in quest'ultima categoria. Finora, non ci sono prove di questo.

La mancanza di qualsiasi motivazione finanziaria non giustifica quanto accaduto. Ma indica che questo hacker è solo un adolescente curioso con una scarsa comprensione della legge sulla sicurezza informatica.

Dopo aver compromesso l'account del dipendente, l'attaccante ha trovato uno script di Microsoft PowerShell con credenziali di amministratore codificate, secondo l'esperto di sicurezza Marcus Hutchins.

Con queste credenziali, l'hacker potrebbe infiltrarsi in altre parti dell'apparato IT di Uber. Nel campo della sicurezza, questo è chiamato "movimento laterale".

O, in altre parole: l'attaccante aumenta progressivamente la propria presa compromettendo più sistemi, ognuno dei quali fornisce un altro pezzo del puzzle.

La risposta

Al momento stiamo rispondendo a un incidente di sicurezza informatica. Siamo in contatto con le forze dell'ordine e pubblicheremo ulteriori aggiornamenti qui non appena saranno disponibili.
— Uber Comms (@Uber_Comms) 16 settembre 2022

Uber deve ancora chiarire qualsiasi impatto sugli utenti. La società deve ancora pubblicare un annuncio formale sulla sua pagina della redazione, come di solito accade quando un'azienda subisce una violazione.

In un tweet, Uber ha affermato che sta indagando sull'incidente in collaborazione con le forze dell'ordine.

Dato che l'attaccante ha parlato con varie agenzie di stampa e non si è vergognato di nascondere la propria presenza nella rete di Uber, è molto probabile che nelle prossime settimane e nei prossimi mesi verrà svegliato da un bussare alla porta mattutino.

Aggiornamento: un Threat Actor afferma di aver completamente compromesso Uber: ha pubblicato screenshot della sua istanza AWS, del pannello di amministrazione di HackerOne e altro ancora.

Stanno apertamente schernindo e deridendo @Uber. pic.twitter.com/Q3PzzBLsQY

— vx-underground (@vxunderground) 16 settembre 2022

Opsec (o "sicurezza operativa", il processo per nascondere le tue azioni) probabilmente non è la loro priorità principale.

Cosa significa questo per i clienti Uber?

Onestamente, non lo sappiamo. Non ci sono informazioni definitive su ciò a cui l'attaccante ha avuto accesso, se ha esfiltrato dati o sulle politiche di Uber in merito alle informazioni sui clienti.

Pertanto, ti consigliamo di eseguire i seguenti passaggi:

Per precauzione, cambia la tua password Uber in qualcosa di forte e unico. Idealmente, Uber dovrebbe proteggere le password con hashing e salting (come spiegato qui). In caso contrario, o non raggiunge un livello adeguato, la modifica della password proteggerà il tuo account.
Configurare l'autenticazione a due fattori (MFA o 2FA)
Elimina i dettagli della tua carta di debito. Pagare le corse Uber con una carta di credito significa che puoi effettuare uno storno di addebito se un utente malintenzionato dirotta il tuo account.

KnowTechie ha contattato un rappresentante Uber per un commento. Se ci sentiamo, aggiorneremo questo post.

AGGIORNAMENTO 20/09/2022 8:30 ET: Uber ha pubblicato un post sul blog aziendale, che fornisce aggiornamenti su cosa è successo esattamente e su come stanno gestendo la sua risposta al suo recente incidente di sicurezza.

La società delinea la gravità della violazione, come è avvenuta, chi era responsabile e cosa stanno facendo per mitigare il problema. L'indagine è ancora in corso e la società sta ora collaborando con società di digital forensics per risolvere il problema.

Hai qualche idea su questo? Riporta la discussione sul nostro Twitter o Facebook.

Raccomandazioni della redazione:

Secondo quanto riferito, il nuovo hack di TikTok espone il codice sorgente e i dati dell'utente
LastPass segnala una nuova violazione dei dati ma non c'è motivo di panico
L'hacker trasferisce l'iconico FPS Doom sul trattore John Deere
Un nuovo exploit consente agli hacker di sbloccare qualsiasi Honda prodotta dal 2012