Uber został zhakowany przez nastolatka – oto, co wiemy do tej pory

Opublikowany: 2022-09-19

AKTUALIZACJA 16.09.2022 13:56 ET: Uber odpowiedział na raport z The New York Times. Firma twierdzi, że nie ma dowodów na dostęp do poufnej daty i powiadomienie organów ścigania. Przeczytaj oryginalny raport poniżej.

Gigant współużytkowania przejazdów Uber potwierdził dziś, że został zhakowany. Atakujący, w rozmowie z The New York Times , twierdzi, że przeniknął do wewnętrznych systemów inżynieryjnych i komunikacyjnych firmy.

Ten incydent jest dziwny pod wieloma względami. Chociaż zakres ingerencji pozostaje niejasny, to, co wiemy, jest naprawdę zdumiewające.

Korzystając z niewielkiej ilości informacji, które posiadamy, podzielimy ten incydent, przeanalizujemy reakcję Ubera i zbadamy wszelkie możliwe konsekwencje dla kierowców Ubera.

Atakujący

aplikacja uber na iPhonie — Obraz: Unsplash

Oto dobra wiadomość: napastnik nie działa jako członek jakiegoś nastawionego na zysk gangu przestępczego lub sponsorowanej przez państwo organizacji hakerskiej.

W rzeczywistości haker wydaje się być motywowany ciekawością i chęcią przekroczenia cyfrowych mechanizmów obronnych najcenniejszej firmy taksówkarskiej na świecie.

Skąd to wiemy? Po pierwsze, napastnik dość szczerze mówił o swoich motywacjach. W rozmowie z The New York Times twierdzili, że są 18-letnim entuzjastą cyberbezpieczeństwa.

Dlaczego Uber wszedł na ich celowniki? Ponieważ atakujący twierdził, że „miał słabe zabezpieczenia”.

Ponadto zapowiedzieli swoją obecność Uberowi. Po uzyskaniu dostępu do swoich systemów wewnętrznych haker opublikował wiadomość na Slacku, która brzmiała: „Ogłaszam, że jestem hakerem, a Uber doznał naruszenia bezpieczeństwa danych”.

Prawdziwi złośliwi aktorzy mają tendencję do milczenia tak długo, jak to możliwe. Lub działają zdecydowanie, aby sparaliżować firmę, aby uzyskać stromy okup. Żadna z tych rzeczy się tutaj nie wydarzyła.

Wiadomość Slack wezwała również Ubera do płacenia swoim kierowcom więcej i wymieniła kilka wewnętrznych baz danych. Według The New York Times , jako ostateczny zamach, napastnik zamieścił „wyraźne zdjęcie na wewnętrznej stronie informacyjnej dla pracowników”.

Atak

Uber, co musisz wiedzieć, wątek.

1) pic.twitter.com/CXU75bqrZU
— Kevin Beaumont (@GossiTheDog) 16 września 2022 r.

W chwili pisania tego tekstu Uber nie opublikował jeszcze sekcji zwłok w sprawie incydentu związanego z bezpieczeństwem. To zrozumiałe. Ta historia jest bardzo świeża.

Dla jasności będziemy musieli polegać na własnych zeznaniach napastnika i raportach NYT . Według gazety atakujący zastosował proste taktyki socjotechniczne.

Przekonali pracownika do przekazania hasła, udając „osobę informatyczną korporacyjną”.

To, co wydarzyło się później, pozostaje niejasne. Jedno ze źródeł NYT twierdziło, że atak był „całkowitym kompromisem” systemów Ubera.

Ale jest różnica między kompromisem a katastrofalnym wyłomem. To, gdzie incydent ma miejsce na jednym z tych biegunów, w dużej mierze zależy od intencji.

Jeśli atakujący wykradł ogromne ilości danych użytkownika i sprzedał je lub zmusił firmę do okupu, tak jak w przypadku włamania do Ubera z 2017 r., incydent należy do tej drugiej kategorii. Jak dotąd nie ma na to dowodów.

Brak jakiegokolwiek motywu finansowego nie usprawiedliwia tego, co się stało. Wskazuje jednak, że ten haker jest tylko ciekawskim nastolatkiem, który słabo rozumie przepisy dotyczące cyberbezpieczeństwa.

Według eksperta ds. bezpieczeństwa, Marcusa Hutchinsa, po zhakowaniu konta pracownika osoba atakująca znalazła skrypt Microsoft PowerShell z zakodowanymi na stałe poświadczeniami administratora.

Mając te dane uwierzytelniające, haker mógłby przeniknąć do innych części aparatu informatycznego Ubera. W dziedzinie bezpieczeństwa nazywa się to „ruchem bocznym”.

Lub, ujmując to inaczej: atakujący stopniowo zwiększa swoją przewagę, kompromitując więcej systemów, z których każdy stanowi kolejny element układanki.

Odpowiedź

Obecnie odpowiadamy na incydent związany z cyberbezpieczeństwem. Jesteśmy w kontakcie z organami ścigania i opublikujemy tutaj dodatkowe aktualizacje, gdy będą dostępne.
— Uber Comms (@Uber_Comms) 16 września 2022 r.

Uber nie wyjaśnił jeszcze żadnego wpływu na użytkowników. Firma nie opublikowała jeszcze oficjalnego komunikatu na swojej stronie w newsroomie, jak to zwykle bywa w przypadku naruszenia.

W tweecie Uber powiedział, że bada incydent we współpracy z organami ścigania.

Biorąc pod uwagę, że napastnik rozmawiał z różnymi agencjami prasowymi i nie wstydził się ukrywać swojej obecności w sieci Ubera, jest bardzo prawdopodobne, że w nadchodzących tygodniach i miesiącach zostanie obudzony porannym pukaniem do drzwi.

Aktualizacja: Threat Actor twierdzi, że całkowicie skompromitował Ubera – opublikował zrzuty ekranu swojej instancji AWS, panelu administracyjnego HackerOne i nie tylko.

Otwarcie szydzą i wyśmiewają @Uber. pic.twitter.com/Q3PzzBLsQY
— vx-underground (@vxunderground) 16 września 2022

Opsec (lub „bezpieczeństwo operacyjne”, proces ukrywania twoich działań) prawdopodobnie nie jest ich największym priorytetem.

Co to oznacza dla klientów Ubera?

Szczerze, nie wiemy. Nie ma ostatecznych informacji na temat tego, do czego uzyskał dostęp osoba atakująca, czy wykradł jakiekolwiek dane, ani na temat zasad firmy Uber dotyczących informacji o klientach.

W związku z tym zalecamy wykonanie następujących kroków:

Na wszelki wypadek zmień swoje hasło Uber na coś silnego i unikalnego. Najlepiej byłoby, gdyby Uber chronił hasła za pomocą haszowania i solenia (jak wyjaśniono tutaj). Jeśli tak się nie stanie lub nie jest na odpowiednim poziomie, zmiana hasła ochroni Twoje konto.
Skonfiguruj uwierzytelnianie dwuskładnikowe (MFA lub 2FA)
Usuń dane karty debetowej. Płacenie za przejazdy Uber kartą kredytową oznacza, że możesz dokonać obciążenia zwrotnego, jeśli atakujący przejmie Twoje konto.

Firma KnowTechie skontaktowała się z przedstawicielem Ubera w celu uzyskania komentarza. Jeśli odpowiemy, zaktualizujemy ten post.

AKTUALIZACJA 20.09.2022 8:30 ET: Uber opublikował post na swoim firmowym blogu, który zawiera aktualne informacje o tym, co dokładnie się stało i jak radzą sobie z odpowiedzią na niedawny incydent związany z bezpieczeństwem.

Firma przedstawia powagę naruszenia, jak to się stało, kto był odpowiedzialny i co robi, aby złagodzić problem. Dochodzenie wciąż trwa, a firma współpracuje obecnie z firmami zajmującymi się kryminalistyką cyfrową, aby rozwiązać ten problem.

Masz jakieś przemyślenia na ten temat? Przenieś dyskusję na naszego Twittera lub Facebooka.

Rekomendacje redaktorów:

Nowy hack TikTok podobno ujawnia kod źródłowy i dane użytkownika
LastPass zgłasza nowe naruszenie danych, ale nie ma powodu do paniki
Haker przenosi kultowy FPS Doom do ciągnika John Deere
Nowy exploit pozwala hakerom odblokować każdą Hondę wyprodukowaną od 2012 roku