Birkaç gün önce, Uber'in büyük bir hack'in kurbanı olduğuna dair haberler vardı. Saldırganların bir hata ödül programından bir güvenlik açığı listesi ele geçirdiğine dair şüpheler bile var. Seyahat hizmeti sağlayıcısı Uber, saldırganın Lapsus$ grubu olduğunu doğruladı.
İlk olarak Uber hack'iyle ilgili rapor, hala çok şey belirsizdi. Sürüş hizmeti sağlayıcısı Uber'e göre, süreçler artık açıklanabilir ve hangi verilerin çalındığı kesin olarak tanımlanabilir. Uber'e göre şöyle oldu: “Bir Uber EXT yüklenicisinin hesabı, kötü amaçlı yazılım kullanan bir saldırgan tarafından ele geçirildi ve kimlik bilgileri çalındı. Saldırganın, yüklenicinin Uber şirket şifresini dark web üzerinden satın almış olması muhtemeldir. Saldırgan daha sonra defalarca yüklenicinin Uber hesabına giriş yapmayı denedi. Her seferinde yüklenici, başlangıçta erişimi engelleyen iki faktörlü bir oturum açma izni talebi aldı. Ancak sonunda yüklenici bir tanesini kabul etti ve saldırgan başarıyla oturum açtı." Buna klasik MFA bombalaması denir.
Saldırgan oturum açtıktan sonra birkaç başka çalışan hesabına erişti ve bu da sonunda saldırgana G-Suite ve Slack gibi bir dizi araç için yükseltilmiş ayrıcalıklar verdi. Saldırgan daha sonra şirket genelindeki bir Slack kanalına bir mesaj gönderdi ve Uber'in OpenDNS'sini bazı dahili web sitelerinde çalışanlara grafik bir görüntü gösterecek şekilde yeniden yapılandırdı.
Uber nasıl tepki verdi?
Uber, "Mevcut güvenlik izleme süreçlerimiz, ekiplerimizin sorunu hızlı bir şekilde belirleyip yanıt vermesini sağladı. En büyük önceliğimiz, saldırganın artık sistemlerimize erişimi olmamasını sağlamaktı; kullanıcı verilerinin güvende olduğundan ve Uber hizmetlerinin tehlikeye atılmadığından emin olmak için; ve ardından olayın kapsamını ve etkisini araştırmak."
İşte Uber'in gerçekleştirdiği iddia edilen temel eylemler:
- Güvenliği ihlal edilmiş veya potansiyel olarak güvenliği ihlal edilmiş tüm çalışan hesaplarını belirledi ve Uber sistemlerine erişimlerini engelledi ya da parola sıfırlaması gerektirdi.
- Etkilenen veya potansiyel olarak etkilenen birçok dahili araç devre dışı bırakıldı.
- Dahili hizmetlerin çoğu için anahtarlar döndürüldü (erişim etkin bir şekilde sıfırlandı).
- Codebase, yeni kod değişikliklerini önlemek için kilitlendi.
- Dahili araçlara yeniden erişim sağlamak, çalışanların yeniden kimlik doğrulaması yapmasını gerektirdi. Ayrıca, çok faktörlü kimlik doğrulama (MFA) yönergeleri güçlendirilmiştir.
- Diğer şüpheli etkinlikleri daha da yakından takip etmek için dahili ortamın ek olarak izlenmesi eklendi.
Etkisi neydi?
Uber, her şeyin kontrol altında olduğunu söylüyor: "Saldırgan birden fazla dahili sisteme erişti ve araştırmamız, maddi bir etki olup olmadığını belirlemeye odaklandı. Soruşturma devam ederken, mevcut bulgularımızın bazı ayrıntılarını paylaşabiliriz. Öncelikle, saldırganın uygulamalarımızı çalıştıran üretim sistemlerine eriştiğini görmedik. Tüm kullanıcı hesapları; veya kredi kartı numaraları, kullanıcı banka hesabı bilgileri veya seyahat geçmişi gibi hassas kullanıcı bilgilerini depolamak için kullandığımız veritabanları. Ayrıca kredi kartı bilgilerini ve kişisel sağlık bilgilerini şifreleyerek başka bir koruma katmanı sağlıyoruz.
Kod tabanımızı kontrol ettik ve saldırgan tarafından yapılan herhangi bir değişiklik bulamadık. Saldırganın bulut sağlayıcılarımızda (ör. AWS S3) depolanan müşteri veya kullanıcı verilerine eriştiğini de belirlemedik. Saldırganın bazı dahili Slack mesajlarını indirdiği ve finans ekibimizin bazı faturaları yönetmek için kullandığı dahili bir araçtan bilgi aldığı veya indirdiği anlaşılıyor. Şu anda bu indirmeleri analiz ediyoruz.”
Güvenlik açığı raporları çalındı mı?
Uber'e göre bu tehlike yasaklanmalı “Saldırgan, güvenlik araştırmacılarının hataları ve güvenlik açıklarını bildirdiği HackerOne'daki panomuza erişmeyi başardı. Ancak, saldırganın erişebileceği tüm hata raporları düzeltildi. Bu süre boyunca halka açık tüm Uber, Uber Eats ve Uber Freight hizmetlerimizi sorunsuz bir şekilde çalışır durumda tutabildik. Bazı dahili araçları kapattığımız için müşteri hizmetleri operasyonları minimum düzeyde etkilendi ve artık normale döndü."
Uber bunun bir Lapsus$ saldırısı olduğunu düşünüyor
Henüz kesin bir kanıt bulunmamakla birlikte Uber, saldırının bir Lapsus$ saldırısı olduğuna inanıyor. "Bu saldırganın (veya saldırganların), geçtiğimiz yıl içinde giderek daha aktif hale gelen Lapsus$ adlı bir bilgisayar korsanlığı grubuyla bağlantılı olduğuna inanıyoruz. Bu grup genellikle teknoloji şirketlerine saldırmak için benzer teknikler kullanıyor ve yalnızca 2022'de diğerlerinin yanı sıra Microsoft, Cisco, Samsung, Nvidia ve Okta'yı ihlal etti. Hafta sonu aynı oyuncunun video oyun yapımcısı Rockstar Games'e saldırdığına dair haberler de var. Bu konuda FBI ve ABD Adalet Bakanlığı ile yakın koordinasyon içindeyiz ve çabalarını desteklemeye devam edeceğiz."
Uber şimdi ne yapıyor?
Uber, adli tıp verilerini değerlendirmeye devam etmek istiyor ve bunu yapmak için çok fazla uzmanlık kullanıyor. Ayrıca Uber, saldırıdan ders almak ve savunmayı güçlendirmek ve gelecekteki saldırılara karşı koruma sağlamak için politikalar, uygulamalar ve teknolojiler üzerinde çalışmak istiyor.
Daha fazlası Uber.com'da