Há alguns dias, houve a notícia de que o Uber foi vítima de um grande hack. Há até suspeitas de que os invasores tenham capturado uma lista de vulnerabilidades de um programa de recompensas por bugs. O Uber, o provedor de serviços de viagens, agora confirmou que o invasor é o grupo Lapsus$.
Em primeiro Relatório sobre o hack do Uber, muito ainda não estava claro. De acordo com o provedor de serviços de direção Uber, os processos agora podem ser descritos e definidos com precisão quais dados foram roubados. Aqui está o que aconteceu, de acordo com o Uber: “A conta de um contratado EXT do Uber foi comprometida por um invasor usando malware e suas credenciais foram roubadas. É provável que o invasor tenha comprado a senha da empresa Uber do contratante na dark web. O invasor tentou repetidamente fazer login na conta do Uber do contratante. A cada vez, o contratado recebia uma solicitação de permissão de login de dois fatores, que inicialmente bloqueava o acesso. Eventualmente, no entanto, o empreiteiro aceitou um e o invasor se conectou com sucesso." Isso é chamado de bombardeio MFA clássico.
Uma vez logado, o invasor acessou várias contas de outros funcionários, o que acabou dando ao invasor privilégios elevados para uma variedade de ferramentas, incluindo G-Suite e Slack. O invasor então enviou uma mensagem para um canal Slack em toda a empresa e reconfigurou o OpenDNS do Uber para mostrar aos funcionários uma imagem gráfica em alguns sites internos.
Como o Uber reagiu?
A Uber diz: “Nossos processos de monitoramento de segurança existentes permitiram que nossas equipes identificassem e respondessem rapidamente ao problema. Nossa principal prioridade era garantir que o invasor não tivesse mais acesso aos nossos sistemas; para garantir que os dados do usuário estejam seguros e os serviços da Uber não sejam comprometidos; e, em seguida, investigar o escopo e o impacto do incidente."
Aqui estão as principais ações que o Uber afirma ter realizado:
- Ele identificou todas as contas de funcionários que foram comprometidas ou potencialmente comprometidas e bloquearam seu acesso aos sistemas da Uber ou exigiram uma redefinição de senha.
- Muitas ferramentas internas afetadas ou potencialmente afetadas foram desativadas.
- As chaves para muitos dos serviços internos foram rotacionadas (redefinindo efetivamente o acesso).
- Codebase foi bloqueado para evitar novas alterações de código.
- O restabelecimento do acesso às ferramentas internas exigia que os funcionários se autenticassem novamente. Além disso, as diretrizes para autenticação multifator (MFA) foram fortalecidas.
- Adicionado monitoramento adicional do ambiente interno para ficar de olho ainda mais em outras atividades suspeitas.
Qual foi o impacto?
O Uber diz que tem tudo sob controle: “O invasor acessou vários sistemas internos e nossa investigação se concentrou em determinar se houve um impacto significativo. Embora a investigação ainda esteja em andamento, temos alguns detalhes de nossas descobertas atuais para compartilhar. Em primeiro lugar, não vimos que o invasor acessou os sistemas de produção que executam nossos aplicativos. Todas as contas de usuário; ou os bancos de dados que usamos para armazenar informações confidenciais do usuário, como números de cartão de crédito, informações de contas bancárias do usuário ou histórico de viagens. Também criptografamos informações de cartão de crédito e informações pessoais de saúde, fornecendo outra camada de proteção.
Verificamos nossa base de código e não encontramos nenhuma alteração feita pelo invasor. Também não determinamos que o invasor tenha acessado dados de clientes ou usuários armazenados em nossos provedores de nuvem (por exemplo, AWS S3). Parece que o invasor baixou algumas mensagens internas do Slack e recuperou ou baixou informações de uma ferramenta interna que nossa equipe financeira usa para gerenciar algumas faturas. No momento, estamos analisando esses downloads.”
Os relatórios de vulnerabilidade foram roubados?
Segundo a Uber, esse perigo deveria ser banido “O invasor conseguiu acessar nosso painel no HackerOne, onde pesquisadores de segurança relatam erros e vulnerabilidades. No entanto, todos os relatórios de erros que o invasor poderia acessar foram corrigidos. Durante todo esse tempo, conseguimos manter todos os nossos serviços Uber, Uber Eats e Uber Freight voltados para o público funcionando sem problemas. Como encerramos algumas ferramentas internas, as operações de atendimento ao cliente foram minimamente impactadas e agora estão de volta ao normal.”
Uber acha que é um ataque Lapsus$
Embora ainda não haja evidências definitivas, o Uber acredita que o ataque foi um ataque Lapsus$. “Acreditamos que esse invasor (ou invasores) está conectado a um grupo de hackers chamado Lapsus$, que se tornou cada vez mais ativo no último ano. Esse grupo normalmente usa técnicas semelhantes para atacar empresas de tecnologia e invadiu Microsoft, Cisco, Samsung, Nvidia e Okta, entre outras, apenas em 2022. Também houve relatos no fim de semana de que o mesmo ator atacou a fabricante de videogames Rockstar Games. Estamos em estreita coordenação com o FBI e o Departamento de Justiça dos EUA sobre esse assunto e continuaremos a apoiar seus esforços".
O que a Uber está fazendo agora?
A Uber quer continuar avaliando os dados forenses e usa muita experiência para fazer isso. Além disso, a Uber quer aprender com o ataque e trabalhar em políticas, práticas e tecnologias para fortalecer as defesas e proteger contra ataques futuros.
Mais em Uber.com