Qualche giorno fa è giunta la notizia che Uber è stato vittima di un grave hack. Ci sono persino sospetti che gli aggressori abbiano catturato un elenco di vulnerabilità da un programma di bug bounty. Uber, il fornitore di servizi di viaggio, ha ora confermato che l'aggressore è il gruppo Lapsus$.
Nel primo Rapporto sull'hacking di Uber, molto era ancora poco chiaro. Secondo il fornitore di servizi di guida Uber, ora è possibile descrivere i processi e definire con precisione quali dati sono stati rubati. Ecco cosa è successo, secondo Uber: “L'account di un appaltatore Uber EXT è stato compromesso da un utente malintenzionato utilizzando malware e le loro credenziali sono state rubate. È probabile che l'aggressore abbia acquistato la password dell'azienda Uber dell'appaltatore sul dark web. L'aggressore ha quindi tentato ripetutamente di accedere all'account Uber dell'appaltatore. Ogni volta, l'appaltatore riceveva una richiesta di autorizzazione di accesso a due fattori, che inizialmente bloccava l'accesso. Alla fine, tuttavia, l'appaltatore ne ha accettato uno e l'attaccante ha effettuato l'accesso con successo." Questo si chiama classico bombardamento MFA.
Una volta effettuato l'accesso, l'aggressore ha avuto accesso a diversi altri account dei dipendenti, che alla fine gli hanno conferito privilegi elevati su una serie di strumenti, tra cui G-Suite e Slack. L'attaccante ha quindi inviato un messaggio a un canale Slack a livello aziendale e ha riconfigurato OpenDNS di Uber per mostrare ai dipendenti un'immagine grafica su alcuni siti Web interni.
Come ha reagito Uber?
Uber afferma: "I nostri processi di monitoraggio della sicurezza esistenti hanno consentito ai nostri team di identificare e rispondere rapidamente al problema. La nostra massima priorità era garantire che l'aggressore non avesse più accesso ai nostri sistemi; per garantire che i dati degli utenti siano protetti e che i servizi Uber non siano compromessi; e poi per indagare la portata e l'impatto dell'incidente."
Ecco le azioni chiave che Uber afferma di aver intrapreso:
- Ha identificato tutti gli account dei dipendenti compromessi o potenzialmente compromessi e ne ha bloccato l'accesso ai sistemi Uber o ha richiesto la reimpostazione della password.
- Molti strumenti interni interessati o potenzialmente interessati sono stati disattivati.
- Le chiavi di molti dei servizi interni sono state ruotate (reimpostando di fatto l'accesso).
- Codebase è stato bloccato per impedire nuove modifiche al codice.
- Ristabilire l'accesso agli strumenti interni richiedeva ai dipendenti di riautenticarsi. Inoltre, le linee guida per l'autenticazione a più fattori (MFA) sono state rafforzate.
- Aggiunto ulteriore monitoraggio dell'ambiente interno per tenere d'occhio ancora più da vicino altre attività sospette.
Qual è stato l'impatto?
Uber afferma di avere tutto sotto controllo: “L'aggressore ha avuto accesso a più sistemi interni e la nostra indagine si è concentrata sulla determinazione dell'eventuale impatto materiale. Mentre l'indagine è ancora in corso, abbiamo alcuni dettagli delle nostre attuali scoperte da condividere. Prima di tutto, non abbiamo visto che l'attaccante ha avuto accesso ai sistemi di produzione che eseguono le nostre app. Tutti gli account utente; o i database che utilizziamo per archiviare informazioni sensibili dell'utente, come numeri di carta di credito, informazioni sul conto bancario dell'utente o cronologia dei viaggi. Crittografiamo anche le informazioni sulla carta di credito e le informazioni sulla salute personale, fornendo un ulteriore livello di protezione.
Abbiamo controllato la nostra base di codice e non abbiamo trovato modifiche apportate dall'aggressore. Inoltre, non abbiamo stabilito che l'aggressore abbia avuto accesso ai dati di clienti o utenti archiviati presso i nostri fornitori di servizi cloud (ad es. AWS S3). Sembra che l'aggressore abbia scaricato alcuni messaggi interni di Slack e recuperato o scaricato informazioni da uno strumento interno che il nostro team finanziario utilizza per gestire alcune fatture. Attualmente stiamo analizzando questi download.”
I report sulle vulnerabilità sono stati rubati?
Secondo Uber, questo pericolo dovrebbe essere bandito “L'attaccante è riuscito ad accedere alla nostra dashboard di HackerOne, dove i ricercatori di sicurezza segnalano errori e vulnerabilità. Tuttavia, tutte le segnalazioni di bug a cui l'attaccante potrebbe accedere sono state corrette. Durante tutto questo tempo, siamo stati in grado di mantenere operativi tutti i nostri servizi Uber, Uber Eats e Uber Freight rivolti al pubblico senza problemi. Poiché abbiamo chiuso alcuni strumenti interni, le operazioni del servizio clienti hanno subito un impatto minimo e ora sono tornate alla normalità".
Uber pensa che sia un attacco di Lapsus$
Sebbene non ci siano ancora prove definitive, Uber ritiene che l'attacco sia stato un attacco Lapsus $. “Crediamo che questo attaccante (o gli attaccanti) sia collegato a un gruppo di hacker chiamato Lapsus$, che è diventato sempre più attivo nell'ultimo anno o giù di lì. Questo gruppo utilizza in genere tecniche simili per attaccare le aziende tecnologiche e ha violato Microsoft, Cisco, Samsung, Nvidia e Okta, tra gli altri, solo nel 2022. Ci sono state anche segnalazioni durante il fine settimana secondo cui lo stesso attore ha attaccato il produttore di videogiochi Rockstar Games. Siamo in stretto coordinamento con l'FBI e il Dipartimento di giustizia degli Stati Uniti su questa questione e continueremo a sostenere i loro sforzi".
Cosa sta facendo Uber adesso?
Uber vuole continuare a valutare i dati forensi e utilizza molte competenze per farlo. Inoltre, Uber vuole imparare dall'attacco e lavorare su politiche, pratiche e tecnologie per rafforzare le difese e proteggere da attacchi futuri.
Altro su Uber.com