Кілька днів тому з'явилася новина про те, що Uber став жертвою великого злому. Є навіть підозри, що зловмисники захопили список вразливостей з програми баунті. Компанія Uber, постачальник туристичних послуг, тепер підтвердила, що зловмисником є група Lapsus$.
У першому Звіт про злом Uber, багато чого ще було незрозумілим. За словами постачальника послуг водіння Uber, тепер можна описати процеси та точно визначити, які дані були вкрадені. За словами Uber, ось що сталося: «Акаунт підрядника Uber EXT був скомпрометований зловмисником за допомогою зловмисного програмного забезпечення, і його облікові дані було вкрадено. Ймовірно, зловмисник купив у дарк-мережі пароль компанії Uber підрядника. Потім зловмисник кілька разів намагався увійти в обліковий запис підрядника Uber. Кожного разу підрядник отримував двофакторний запит на дозвіл входу, який спочатку блокував доступ. Зрештою, однак, підрядник прийняв один, і зловмисник успішно ввійшов». Це називається класичним МЗС.
Увійшовши в систему, зловмисник отримав доступ до кількох інших облікових записів співробітників, що зрештою дало зловмиснику підвищені привілеї для ряду інструментів, включаючи G-Suite і Slack. Потім зловмисник надіслав повідомлення на загальнокомпанійний канал Slack і переконфігурував OpenDNS Uber, щоб показувати працівникам графічне зображення на деяких внутрішніх веб-сайтах.
Як відреагував Uber?
Uber каже: «Існуючі процеси моніторингу безпеки дозволили нашим командам швидко виявити проблему та відреагувати на неї. Наш головний пріоритет полягав у тому, щоб зловмисник більше не мав доступу до наших систем; забезпечити безпеку даних користувачів і відсутність зламаних служб Uber; а потім розслідувати масштаб і вплив інциденту».
Ось основні дії, яких Uber стверджує:
- Він визначив усі облікові записи працівників, які були скомпрометовані або потенційно скомпрометовані, і або заблокував їхній доступ до систем Uber, або вимагав скинути пароль.
- Багато вражених або потенційно уражених внутрішніх інструментів вимкнено.
- Ключі для багатьох внутрішніх служб було змінено (фактично скинуто доступ).
- Кодову базу було заблоковано, щоб запобігти новим змінам коду.
- Відновлення доступу до внутрішніх інструментів вимагало від співробітників повторної автентифікації. Крім того, посилено рекомендації щодо багатофакторної автентифікації (MFA).
- Додано додатковий моніторинг внутрішнього середовища, щоб ще пильніше стежити за іншими підозрілими діями.
Яким був вплив?
Uber каже, що все під контролем: «Зловмисник отримав доступ до кількох внутрішніх систем, і наше розслідування було зосереджено на тому, щоб визначити, чи був суттєвий вплив. Хоча розслідування ще триває, ми маємо поділитися деякими деталями наших поточних висновків. По-перше, ми не помітили, що зловмисник отримав доступ до робочих систем, на яких працюють наші програми. Усі облікові записи користувачів; або бази даних, які ми використовуємо для зберігання конфіденційної інформації користувачів, такої як номери кредитних карток, інформація про банківський рахунок користувача або історія подорожей. Ми також шифруємо дані кредитної картки та особисту інформацію про здоров’я, забезпечуючи ще один рівень захисту.
Ми перевірили нашу кодову базу та не виявили змін, внесених зловмисником. Ми також не визначили, що зловмисник отримав доступ до даних клієнтів або користувачів, які зберігаються в наших хмарних провайдерах (наприклад, AWS S3). Схоже, зловмисник завантажив деякі внутрішні повідомлення Slack і отримав або завантажив інформацію з внутрішнього інструменту, який наша фінансова команда використовує для керування деякими рахунками-фактурами. Зараз ми аналізуємо ці завантаження».
Чи були звіти про вразливості вкрадені?
За словами Uber, ця небезпека повинна бути заборонена. «Зловмисник отримав доступ до нашої інформаційної панелі в HackerOne, де дослідники безпеки повідомляють про помилки та вразливості. Проте всі звіти про помилки, до яких міг отримати доступ зловмисник, виправлено. За цей час ми змогли підтримувати безперебійну роботу всіх наших публічних служб Uber, Uber Eats і Uber Freight. Оскільки ми припинили роботу деяких внутрішніх інструментів, на роботу служби обслуговування клієнтів вплинуло мінімально, і вона повернулася до нормального режиму».
Uber вважає, що це атака Lapsus$
Хоча остаточних доказів ще немає, Uber вважає, що атака була атакою Lapsus$. «Ми вважаємо, що цей зловмисник (або зловмисники) пов’язаний із хакерською групою під назвою Lapsus$, яка стала дедалі активнішою за останній рік чи близько того. Ця група зазвичай використовує подібні методи для нападу на технологічні компанії та зламала Microsoft, Cisco, Samsung, Nvidia та Okta, серед інших, лише у 2022 році. У вихідні також з’явилася інформація про те, що той самий актор напав на виробника відеоігор Rockstar Games. Ми тісно співпрацюємо з ФБР і Міністерством юстиції США з цього питання і продовжуватимемо підтримувати їхні зусилля».
Що зараз робить Uber?
Uber хоче продовжувати оцінювати судово-медичні дані та використовує для цього великий досвід. Крім того, Uber хоче отримати уроки від атаки та працювати над політикою, практикою та технологіями для зміцнення захисту та захисту від майбутніх атак.
Більше на Uber.com