Il fornitore di servizi di trasporto Uber ha subito un attacco informatico in cui un sospetto hacker di 18 anni ha scaricato rapporti di vulnerabilità da HackerOne e ha condiviso schermate dei sistemi interni dell'azienda, dashboard e-mail e server Slack.
Gli screenshot condivisi dall'hacker sembrano mostrare il pieno accesso a molti dei sistemi IT critici di Uber, inclusi il software di sicurezza dell'azienda e il dominio Windows.
L'aggressore di Uber aveva pieno accesso
L'attaccante ha anche violato il server Uber Slack, che ha utilizzato per inviare messaggi ai dipendenti dicendo che l'azienda è stata violata. Tuttavia, gli screenshot di Uber's Slack mostrano che questi annunci sono stati inizialmente accolti con meme e battute, poiché i dipendenti non erano a conoscenza del fatto che fosse in corso un vero attacco informatico.
Secondo bleedingcomputer, Uber da allora ha confermato l'attacco e ha twittato di essere in contatto con le forze dell'ordine e rilascerà ulteriori informazioni non appena saranno disponibili. “Attualmente stiamo rispondendo a un incidente di sicurezza informatica. Siamo in contatto con le forze dell'ordine e pubblicheremo qui ulteriori aggiornamenti non appena saranno disponibili", ha twittato l'account di Uber Communications.
Nessuna dichiarazione ufficiale di Uber
Ian McShane, vicepresidente della strategia di Arctic Wolf, afferma dell'hack di Uber: "Sebbene non ci sia ancora una dichiarazione ufficiale, una persona che ha rivendicato la responsabilità dell'attacco informatico afferma che l'accesso iniziale è stato socialmente progettato da un ignaro dipendente di Uber che è stato contattato da lui, si è presentato come supporto tecnico e ha reimpostato la password. L'attaccante è stato quindi in grado di connettersi alla VPN aziendale per ottenere un ulteriore accesso alla rete Uber. In tal modo, sembra aver trovato l'oro sotto forma di credenziali di amministratore memorizzate in chiaro su una condivisione di rete.
La barriera all'ingresso per questo attacco si è rivelata piuttosto bassa. L'attacco è simile a quello in cui gli aggressori hanno impersonato dipendenti MSFT e indotto gli utenti finali a installare keylogger o strumenti di accesso remoto. Dato l'accesso che affermano di aver ottenuto, sono sorpreso che l'aggressore non abbia tentato di estorcere un riscatto. Sembra che sia stato solo un atto 'divertente'".
Accesso al programma bug bounty?
Al momento non c'è una spiegazione precisa dell'attacco. Vari media riportano che l'account Uber era protetto con l'autenticazione a più fattori. L'aggressore avrebbe utilizzato un attacco di fatica MFA e finto di essere il supporto IT di Uber per convincere il dipendente ad accettare la richiesta MFA. Secondo il New York Times, l'hacker avrebbe avuto accesso ai database e al codice sorgente di Uber a seguito dell'attacco.
La cosa peggiore è l'ipotesi che si dice che l'attaccante abbia copiato il sistema di ticket e quindi le segnalazioni di vulnerabilità del programma bug bounty. Se ciò fosse vero, Uber dovrebbe aspettarsi un nuovo attacco in qualsiasi momento e colmare le lacune rilevate con estrema rapidità. Perché l'attaccante può trasformare rapidamente queste informazioni in denaro sul Darknet. Probabilmente gli esperti sono già alla ricerca di offerte adeguate.
Altro su bleedingcomputer.com