Hace unos días, hubo noticias de que Uber fue víctima de un gran hackeo. Incluso hay sospechas de que los atacantes han capturado una lista de vulnerabilidades de un programa de recompensas por errores. Uber, el proveedor de servicios de viajes, ahora ha confirmado que el atacante es el grupo Lapsus$.
En el primero Informe sobre el hackeo de Uber, mucho aún no estaba claro. Según el proveedor de servicios de conducción Uber, ahora se pueden describir los procesos y definir con precisión qué datos fueron robados. Esto es lo que sucedió, según Uber: “La cuenta de un contratista de Uber EXT fue comprometida por un atacante que usó malware y sus credenciales fueron robadas. Es probable que el atacante haya comprado la contraseña de la empresa Uber del contratista en la dark web. Luego, el atacante intentó repetidamente iniciar sesión en la cuenta de Uber del contratista. Cada vez, el contratista recibió una solicitud de permiso de inicio de sesión de dos factores, que inicialmente bloqueó el acceso. Eventualmente, sin embargo, el contratista aceptó uno y el atacante inició sesión con éxito". Esto se llama bombardeo MFA clásico.
Una vez que inició sesión, el atacante accedió a varias cuentas de otros empleados, lo que eventualmente le otorgó privilegios elevados para una variedad de herramientas, incluidas G-Suite y Slack. Luego, el atacante envió un mensaje a un canal Slack de toda la empresa y reconfiguró OpenDNS de Uber para mostrar a los empleados una imagen gráfica en algunos sitios web internos.
¿Cómo reaccionó Uber?
Uber dice: “Nuestros procesos de monitoreo de seguridad existentes permitieron a nuestros equipos identificar y responder rápidamente al problema. Nuestra máxima prioridad era asegurarnos de que el atacante ya no tuviera acceso a nuestros sistemas; para garantizar que los datos del usuario estén seguros y que los servicios de Uber no se vean comprometidos; y luego investigar el alcance y el impacto del incidente".
Estas son las acciones clave que Uber afirma haber tomado:
- Identificó todas las cuentas de los empleados que estaban comprometidas o potencialmente comprometidas y bloqueó su acceso a los sistemas de Uber o requirió un restablecimiento de contraseña.
- Muchas herramientas internas afectadas o potencialmente afectadas han sido deshabilitadas.
- Se han rotado las claves para muchos de los servicios internos (restableciendo efectivamente el acceso).
- Codebase se ha bloqueado para evitar nuevos cambios de código.
- Restablecer el acceso a las herramientas internas requería que los empleados se volvieran a autenticar. Además, se han reforzado las directrices para la autenticación multifactor (MFA).
- Se agregó monitoreo adicional del entorno interno para vigilar aún más de cerca otras actividades sospechosas.
¿Cuál fue el impacto?
Uber dice que tiene todo bajo control: “El atacante accedió a múltiples sistemas internos y nuestra investigación se centró en determinar si hubo un impacto material. Si bien la investigación aún está en curso, tenemos algunos detalles de nuestros hallazgos actuales para compartir. En primer lugar, no vimos que el atacante accedió a los sistemas de producción que ejecutan nuestras aplicaciones. Todas las cuentas de usuario; o las bases de datos que utilizamos para almacenar información confidencial del usuario, como números de tarjetas de crédito, información de la cuenta bancaria del usuario o historial de viajes. También encriptamos la información de la tarjeta de crédito y la información de salud personal, lo que brinda otra capa de protección.
Verificamos nuestra base de código y no encontramos cambios realizados por el atacante. Tampoco determinamos que el atacante accedió a los datos del cliente o del usuario almacenados en nuestros proveedores de la nube (por ejemplo, AWS S3). Parece que el atacante descargó algunos mensajes internos de Slack y recuperó o descargó información de una herramienta interna que nuestro equipo de finanzas usa para administrar algunas facturas. Actualmente estamos analizando estas descargas”.
¿Se robaron los informes de vulnerabilidad?
Según Uber, este peligro debería prohibirse “El atacante pudo acceder a nuestro tablero en HackerOne, donde los investigadores de seguridad informan errores y vulnerabilidades. Sin embargo, todos los informes de errores a los que el atacante podría acceder se han solucionado. A lo largo de ese tiempo, hemos podido mantener todos nuestros servicios públicos de Uber, Uber Eats y Uber Freight funcionando sin problemas. Como cerramos algunas herramientas internas, las operaciones de servicio al cliente se vieron mínimamente afectadas y ahora han vuelto a la normalidad”.
Uber cree que es un ataque de Lapsus$
Si bien aún no hay evidencia definitiva, Uber cree que el ataque fue un ataque de Lapsus$. “Creemos que este atacante (o atacantes) está conectado a un grupo de piratería llamado Lapsus$, que se ha vuelto cada vez más activo durante el último año más o menos. Este grupo generalmente usa técnicas similares para atacar a las empresas de tecnología y ha violado a Microsoft, Cisco, Samsung, Nvidia y Okta, entre otros, solo en 2022. También hubo informes durante el fin de semana de que el mismo actor atacó al fabricante de videojuegos Rockstar Games. Estamos en estrecha coordinación con el FBI y el Departamento de Justicia de los Estados Unidos en este asunto y continuaremos apoyando sus esfuerzos".
¿Qué está haciendo Uber ahora?
Uber quiere seguir evaluando los datos forenses y utiliza mucha experiencia para hacerlo. Además, Uber quiere aprender del ataque y trabajar en políticas, prácticas y tecnologías para fortalecer las defensas y protegerse contra futuros ataques.
Más en Uber.com