Uber изучает массовое нарушение безопасности, поскольку подросток-хакер публикует конфиденциальные скриншоты

новости о массовых нарушениях безопасности Uber
Вчера вечером популярная компания Uber объявила, что реагирует на инцидент с кибербезопасностью, но не предоставила никаких дополнительных подробностей, кроме того, что компания связалась с правоохранительными органами. Однако информация об инциденте не заставила себя долго ждать. Неизвестный злоумышленник утверждает, что получил несанкционированный доступ ко всем внутренним сторонним службам Uber.

Этот анонимный актер обратился к нескольким изданиям и исследователям кибербезопасности, взяв на себя ответственность за инцидент и предоставив информацию о себе и взломе. В беседе с журналистами The New York Times , актер назвал себя 18-летним. Согласно твитам Кевина Бомонта, он утверждал, что получил первоначальный доступ к внутренней сети Uber, проведя атаку Fatigue MFA (многофакторная аутентификация) против одного из сотрудников компании.

Хакер более часа рассылал спам сотруднику Uber запросами аутентификации MFA , а затем отправил сотруднику сообщение в WhatsApp. Утверждая, что он является сотрудником ИТ-отдела Uber, хакер сказал сотруднику принять запрос на аутентификацию, чтобы прекратить постоянные уведомления. К сожалению, сотрудник был обманут этой схемой социальной инженерии и выполнил запрос, предоставив злоумышленнику доступ к корпоративному VPN сотрудника .

Согласно Telegram сообщения, которыми поделился Корбен Лео, злоумышленник подключился к VPN и просканировал внутреннюю сеть Uber, обнаружив несколько сценариев powershell в сетевом ресурсе. Сценарии powershell содержали учетные данные для входа в учетную запись администратора Thycotic, поскольку Thycotic является платформой управления привилегированным доступом (PAM). Хакер использовал эти учетные данные для входа в Thycotic и извлечения секретных ключей для всех подключенных сервисов Uber.
приложение uber на телефоне в руках новости

Злоумышленник опубликовал скриншоты, демонстрирующие доказательства несанкционированного доступа к экземпляру Uber AWS , системе отслеживания ошибок HackerOne, панели администрирования SentinalOne, рабочему пространству Slack, платформе виртуализации VMware vSphere, рабочему пространству Google и финансовым данным. Он также утверждает, что получил доступ к сервису двухфакторной аутентификации Uber Duo, рабочему пространству Confluence и двум монорепозиториям из пакета разработки компании Phabricator.

Система отслеживания ошибок Uber HackerOne была отключена, предположительно, в ответ на взлом, но это действие, вероятно, было предпринято слишком поздно. Похоже, что хакер получил доступ ко всем квитанциям компании об ошибках, о чем свидетельствуют комментарии «UBER HAS BEEN HACKED», оставленные на каждой квитанции. Он также оставил сообщение в рабочей области Slack компании о взломе, но сотрудники Uber, по-видимому, сначала не восприняли это сообщение всерьез. По словам неназванных сотрудников Uber, которые разговаривали с Сэмом Карри, сотрудники компании восприняли сообщение как шутку и высмеяли хакера, даже после того, как Uber отправил своим сотрудникам срочное уведомление с просьбой прекратить использовать Slack.

Хотя Uber все еще расследует инцидент и реагирует на него, его предварительное расследование не выявило никаких доказательств того, что хакер получил доступ к «конфиденциальным данным пользователя». Компания также сообщает , что все ее сервисы в настоящее время работают, а ее внутренние программные инструменты снова работают.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал