数日前、Uber が大規模なハッキングの犠牲になったというニュースがありました。 攻撃者がバグ報奨金プログラムから脆弱性リストを取得した疑いさえあります。 旅行サービス プロバイダーの Uber は、攻撃者が Lapsus$ グループであることを確認しました。
最初に Uber のハッキングに関する報告、まだ不明な点が多い. 運転サービス プロバイダーの Uber によると、プロセスを記述し、どのデータが盗まれたかを正確に定義できるようになりました。 Uber によると、何が起こったかは次のとおりです。 攻撃者が契約者の Uber の会社のパスワードをダークウェブで購入した可能性があります。 その後、攻撃者は請負業者の Uber アカウントへのログインを繰り返し試みました。 そのたびに、請負業者は XNUMX 要素ログイン許可要求を受け取り、最初はアクセスをブロックしました。 しかし、最終的に請負業者はそれを受け入れ、攻撃者はログインに成功しました。」 これは古典的なMFA爆撃と呼ばれます.
ログインすると、攻撃者は他の複数の従業員アカウントにアクセスし、最終的に攻撃者は G-Suite や Slack などのさまざまなツールに対する権限を昇格させました。 その後、攻撃者は全社的な Slack チャネルにメッセージを送信し、Uber の OpenDNS を再構成して、一部の内部 Web サイトで従業員にグラフィック イメージを表示しました。
Uber はどのように反応しましたか?
Uber は次のように述べています。 私たちの最優先事項は、攻撃者が私たちのシステムにアクセスできないようにすることでした。 ユーザー データが安全であり、Uber サービスが危険にさらされていないことを確認するため。 その後、インシデントの範囲と影響を調査します。」
Uber が行ったと主張する主要なアクションは次のとおりです。
- 侵害された、または侵害された可能性があり、Uber システムへのアクセスがブロックされたか、パスワードのリセットが必要な従業員のアカウントをすべて特定しました。
- 影響を受ける、または影響を受ける可能性のある多くの内部ツールが無効になりました。
- 多くの内部サービスのキーがローテーションされました (実質的にアクセスがリセットされます)。
- 新しいコードの変更を防ぐために、コードベースはロックダウンされています。
- 内部ツールへのアクセスを再確立するには、従業員が再認証する必要がありました。 さらに、多要素認証 (MFA) のガイドラインが強化されました。
- 他の疑わしいアクティビティをさらに注意深く監視するために、内部環境の追加の監視が追加されました。
どのような影響がありましたか?
Uber は、すべてを制御下に置いていると述べています。 調査はまだ進行中ですが、現在の調査結果の詳細を共有する必要があります。 まず第一に、攻撃者がアプリを実行している本番システムにアクセスしたことはわかりませんでした。 すべてのユーザー アカウント。 または、クレジット カード番号、ユーザーの銀行口座情報、旅行履歴などのユーザーの機密情報を保存するために使用するデータベース。 また、クレジット カード情報と個人の健康情報を暗号化し、別の保護層を提供します。
コード ベースを確認したところ、攻撃者による変更は見つかりませんでした。 また、攻撃者が当社のクラウド プロバイダー (AWS S3 など) に保存されている顧客データまたはユーザー データにアクセスしたことも特定できませんでした。 攻撃者は Slack の内部メッセージをダウンロードし、財務チームが請求書の管理に使用している内部ツールから情報を取得またはダウンロードしたようです。 現在、これらのダウンロードを分析しています。」
脆弱性レポートは盗まれましたか?
Uber によると、この危険性は禁止されるべきであるとのことです。 ただし、攻撃者がアクセスできるすべてのバグ レポートは修正されています。 その間、一般向けの Uber、Uber Eats、Uber Freight サービスのすべてをスムーズに稼働させることができました。 一部の社内ツールをシャットダウンしたため、カスタマー サービス業務への影響は最小限にとどまり、現在は通常に戻っています。」
Uber は Lapsus$ 攻撃だと考えている
決定的な証拠はまだありませんが、Uber は攻撃が Lapsus$ 攻撃であると考えています。 「この攻撃者 (または攻撃者) は Lapsus$ と呼ばれるハッキング グループに関係していると考えられます。Lapsus$ は、ここ 2022 年ほどでますます活発になっています。 このグループは通常、同様の手法を使用してテクノロジー企業を攻撃しており、XNUMX 年だけでも Microsoft、Cisco、Samsung、Nvidia、Okta などを侵害しています。 週末には、同じ攻撃者がビデオ ゲーム メーカーの Rockstar Games を攻撃したという報告もありました。 我々はこの問題についてFBIと米国司法省と緊密に連携しており、彼らの努力を引き続きサポートしていきます。」
Uber は今何をしているのですか?
Uber はフォレンジック データの評価を継続したいと考えており、そのために多くの専門知識を使用しています。 さらに、Uber は攻撃から学び、防御を強化して将来の攻撃から保護するためのポリシー、慣行、技術に取り組みたいと考えています。
詳しくは Uber.com をご覧ください