Постачальник транспортних послуг Uber зазнав кібератаки, під час якої підозрюваний 18-річний хакер завантажив звіти про вразливості з HackerOne і поділився скріншотами внутрішніх систем компанії, інформаційної панелі електронної пошти та сервера Slack.
Знімки екрана, якими поділився хакер, схоже, демонструють повний доступ до багатьох критичних ІТ-систем Uber, включаючи програмне забезпечення безпеки компанії та домен Windows.
Зловмисник Uber мав повний доступ
Зловмисник також зламав сервер Uber Slack, який використовував для надсилання повідомлень співробітникам про те, що компанію зламали. Однак скріншоти зі Slack компанії Uber показують, що спочатку ці оголошення були сприйняті мемами та жартами, оскільки співробітники не знали про реальну кібератаку.
За даними bleedingcomputer, Uber підтвердила атаку та написала у Twitter, що вони підтримують зв’язок із правоохоронними органами та опублікують додаткову інформацію, щойно вона стане доступною. «Зараз ми реагуємо на інцидент із кібербезпекою. Ми підтримуємо зв’язок із правоохоронними органами та публікуватимемо тут подальші оновлення, щойно вони стануть доступними», – написав обліковий запис Uber Communications у Twitter.
Офіційної заяви Uber немає
Ієн МакШейн, віце-президент зі стратегії Arctic Wolf, каже про злом Uber: «Хоча ще немає офіційної заяви, одна особа, яка взяла на себе відповідальність за кібератаку, стверджує, що початковий доступ був спровокований соціальною інженерією нічого не підозрюючим співробітником Uber, з яким зв’язався він представився службою технічної підтримки та скинув пароль. Потім зловмисник зміг підключитися до корпоративної VPN, щоб отримати подальший доступ до мережі Uber. Роблячи це, він, схоже, отримав золото у вигляді облікових даних адміністратора, які зберігаються у вигляді відкритого тексту на спільному ресурсі мережі.
Вхідний бар'єр для цієї атаки виявився досить низьким. Атака схожа на ту, під час якої зловмисники видавали себе за співробітників MSFT і обманом змусили кінцевих користувачів встановити кейлоггери або інструменти віддаленого доступу. Враховуючи доступ, який вони стверджують, отримав, я здивований, що зловмисник не намагався вимагати викуп. Схоже, це була просто «забава»».
Доступ до програми баунті?
Наразі немає точного пояснення нападу. Різні ЗМІ повідомляють, що обліковий запис Uber був захищений багатофакторною автентифікацією. Зловмисник нібито використав атаку на втому MFA та видавав себе за ІТ-підтримку Uber, щоб переконати працівника прийняти запит MFA. За даними New York Times, в результаті атаки хакер отримав доступ до баз даних і вихідного коду Uber.
Найгіршим є припущення, що зловмисник нібито скопіював систему тикетів і, отже, звіти про вразливості програми баунті. Якби це було правдою, Uber довелося б очікувати нової атаки в будь-який момент і надзвичайно швидко ліквідувати виявлені прогалини. Оскільки зловмисник може швидко перетворити цю інформацію на гроші в Darknet. Ймовірно, експерти вже шукають відповідні пропозиції.
Більше на bleedingcomputer.com