Uber foi hackeado por um adolescente – eis o que sabemos até agora

Publicados: 2022-09-19

ATUALIZAÇÃO 16/09/2022 13:56 ET: Uber respondeu à reportagem do The New York Times. A empresa afirma que não tem evidências de que a data sensível foi acessada e que a aplicação da lei foi notificada. Leia a reportagem original abaixo.

A gigante do compartilhamento de viagens Uber confirmou hoje que foi hackeada. O atacante, falando ao The New York Times , afirma ter penetrado nos sistemas internos de engenharia e comunicação da empresa.

Este incidente é estranho em muitos níveis. Embora a extensão da intrusão permaneça incerta, o que sabemos é genuinamente surpreendente.

Usando as poucas informações que temos, vamos detalhar esse incidente, analisar a resposta do Uber e explorar possíveis consequências para os usuários do Uber.

O atacante

aplicativo uber no iphone — Imagem: Unsplash

Aqui está a boa notícia: o invasor não parece estar operando como parte de uma gangue criminosa com fins lucrativos ou de um grupo de hackers patrocinado pelo Estado.

Na verdade, o hacker aparece motivado pela curiosidade e pelo desejo de transgredir as defesas digitais da empresa de táxi mais valiosa do mundo.

Como nós sabemos disso? Primeiro, o atacante foi bastante franco sobre suas motivações. Falando ao The New York Times , eles afirmaram ser um entusiasta da segurança cibernética de 18 anos.

Por que o Uber entrou na mira? Porque o invasor alegou que “tinha uma segurança fraca”.

Além disso, eles anunciaram sua presença ao Uber. Depois de obter acesso aos seus sistemas internos, o hacker postou uma mensagem no Slack que dizia: “Anuncio que sou um hacker e o Uber sofreu uma violação de dados”.

Atores mal-intencionados reais tendem a ficar em silêncio pelo maior tempo possível. Ou agem decisivamente para paralisar a empresa para extrair um resgate exorbitante. Nenhuma dessas coisas aconteceu aqui.

A mensagem do Slack também pedia que o Uber pagasse mais a seus motoristas e listava vários bancos de dados internos. Como um golpe de misericórdia final, o atacante, segundo o The New York Times , postou “uma foto explícita em uma página interna de informações para funcionários”.

O ataque

Uber, o que você precisa saber, o fio.

1) pic.twitter.com/CXU75bqrZU
— Kevin Beaumont (@GossiTheDog) 16 de setembro de 2022

No momento da redação deste artigo, a Uber ainda não publicou sua autópsia sobre o incidente de segurança. Isso é compreensível. Essa história é muito fresca.

Teremos que confiar no próprio testemunho do invasor e nas reportagens do NYT para maior clareza aqui. De acordo com o jornal, o invasor usou táticas simples de engenharia social.

Eles persuadiram um funcionário a entregar sua senha fingindo ser uma “pessoa de tecnologia da informação corporativa”.

O que aconteceu depois permanece obscuro. Uma fonte do NYT afirmou que o ataque foi um “comprometimento total” dos sistemas da Uber.

Mas há uma diferença entre um compromisso e uma violação catastrófica. Onde um incidente fica em qualquer um desses pólos depende em grande parte da intenção.

Se o invasor extraiu grandes quantidades de dados do usuário e os vendeu, ou manteve a empresa em resgate, como no hack do Uber em 2017, o incidente se enquadra na última categoria. Até agora, não há nenhuma evidência disso.

A falta de qualquer motivo financeiro não justifica o que aconteceu. Mas indica que esse hacker é apenas um adolescente curioso com uma compreensão limitada da lei de segurança cibernética.

Depois de comprometer a conta do funcionário, o invasor encontrou um script do Microsoft PowerShell com credenciais de administrador codificadas, de acordo com o especialista em segurança Marcus Hutchins.

Com essas credenciais, o hacker pode se infiltrar em outras partes do aparato de TI da Uber. No campo da segurança, isso é chamado de “movimento lateral”.

Ou, dito de outra forma: o invasor aumenta progressivamente seu domínio comprometendo mais sistemas, cada um fornecendo outra peça do quebra-cabeça.

A resposta

No momento, estamos respondendo a um incidente de segurança cibernética. Estamos em contato com as autoridades e publicaremos atualizações adicionais aqui assim que estiverem disponíveis.
— Uber Comms (@Uber_Comms) 16 de setembro de 2022

A Uber ainda não esclareceu qualquer impacto sobre os usuários. A empresa ainda não publicou um anúncio formal em sua página de redação, como geralmente acontece quando uma empresa sofre uma violação.

Em um tweet, a Uber disse que está investigando o incidente em colaboração com as agências de aplicação da lei.

Dado que o atacante conversou com várias agências de notícias e não teve vergonha de esconder sua presença na rede do Uber, é altamente provável que eles sejam acordados com uma batida matinal na porta nas próximas semanas e meses.

Atualização: um Threat Actor afirma ter comprometido completamente o Uber – eles postaram capturas de tela de sua instância da AWS, painel de administração do HackerOne e muito mais.

Eles estão provocando e zombando abertamente do @Uber. pic.twitter.com/Q3PzzBLsQY
— vx-underground (@vxunderground) 16 de setembro de 2022

Opsec (ou 'segurança operacional', o processo de ocultar suas ações) provavelmente não é sua maior prioridade.

O que isso significa para os clientes da Uber?

Sinceramente, não sabemos. Não há informações definitivas sobre o que o invasor acessou, se eles exfiltraram dados ou as políticas da Uber em relação às informações do cliente.

Como tal, recomendamos que você execute as seguintes etapas:

Como precaução, altere sua senha do Uber para algo forte e exclusivo. Idealmente, o Uber deve proteger as senhas com hashing e salting (como explicado aqui). Se não, ou não em um nível adequado, alterar sua senha protegerá sua conta.
Configure a autenticação de dois fatores (MFA ou 2FA)
Exclua os detalhes do seu cartão de débito. Pagar por corridas Uber com cartão de crédito significa que você pode fazer um estorno se um invasor invadir sua conta.

A KnowTechie entrou em contato com um representante da Uber para comentar. Se recebermos uma resposta, atualizaremos esta postagem.

ATUALIZAÇÃO 20/09/2022 08:30 ET: Uber publicou uma postagem em seu blog da empresa, que fornece atualizações sobre o que exatamente aconteceu e como eles estão lidando com sua resposta ao recente incidente de segurança.

A empresa descreve a gravidade da violação, como aconteceu, quem foi o responsável e o que está fazendo para mitigar o problema. A investigação ainda está em andamento e a empresa agora está trabalhando com empresas forenses digitais para resolver o problema.

Tem alguma opinião sobre isso? Leve a discussão para o nosso Twitter ou Facebook.

Recomendações dos editores:

Novo hack do TikTok supostamente expõe código-fonte e dados do usuário
LastPass relata nova violação de dados, mas não há motivo para pânico
Hacker transfere o icônico FPS Doom para o trator John Deere
Um novo exploit permite que hackers desbloqueiem qualquer Honda fabricado desde 2012