This post is also available in: Português Español
El jueves 15 de septiembre, algunos de los principales sistemas de Uber fueron presuntamente hackeados y la empresa investiga lo que podría ser un grave incidente de seguridad. Aparentemente, un cracker tomó el control de varios de los sistemas de la compañía, incluidos Slack, AWS, Google Workspace, HackerOne y otros.
El acceso indebido se produjo a nivel administrativo en el entorno de Uber en Amazon Web Services, así como en Slack, además de una cuenta de G Suite con 1 PB en uso. El atacante también habría obtenido acceso a máquinas virtuales (VMware), datos financieros internos, gastos y más. Es posible que los datos del usuario y del conductor se hayan visto comprometidos.
¿Cómo se produjo la invasión?
Con acceso a la cuenta de HackerOne, el atacante habría publicado actualizaciones en la página de recompensas de bugs, alardeando sobre el acceso a los sistemas de Uber.
Según información compartida por investigadores de seguridad, el atacante habría engañado a un empleado con técnicas de phishing a través de mensajes de texto, obteniendo acceso a una VPN de Uber. A partir de ahí, habría encontrado un script de PowerShell con credenciales para un usuario administrador, y estos se habrían utilizado para entrar en los sistemas.
¿El mismo atacante que filtró datos de GTA 6?
Este lunes 19, Uber emitió un comunicado dando más detalles sobre el ciberataque.
La compañía cree que el ciberdelincuente es el mismo afiliado al grupo Lapsus -que se destaca por realizar acciones al estilo ransomware- y que esta misma persona debe haber sido la responsable del ataque a Rockstar, que provocó la filtración de datos sobre GTA 6 .
Según Uber, este grupo suele utilizar técnicas similares para atacar a las empresas de tecnología y, solo en 2022, violó a Microsoft, Cisco, Samsung, Nvidia y Okta, entre otras.
La compañía está en estrecha coordinación con el FBI y el Departamento de Justicia de los EE. UU. en este asunto, apoyando sus esfuerzos.
Uber dice que poco después de identificar el ataque, los equipos de TI tomaron varias medidas, como identificar las cuentas de los empleados que se habían visto comprometidas y bloquear el acceso, deshabilitar las herramientas internas y bloquear el código base para evitar cambios.
El impacto del ataque
Según, el comunicado de Uber, aún se está evaluando el impacto del ciberataque. Sin embargo, se admitió que el atacante había accedido a varios sistemas internos.
“Primero, no hemos visto al atacante acceder a los sistemas de producción (es decir, que dan la cara al público) que alimentan nuestras aplicaciones; cualquier cuenta de usuario; o las bases de datos que utilizamos para almacenar información confidencial del usuario, como números de tarjetas de crédito, información de la cuenta bancaria del usuario o historial de viajes. También encriptamos la información de la tarjeta de crédito y los datos personales de salud, lo que brinda una capa adicional de protección”, explicó.
Todos los servicios de la empresa funcionan con normalidad.
“Estamos trabajando con varias empresas forenses digitales líderes como parte de la investigación. También aprovecharemos esta oportunidad para continuar fortaleciendo nuestras políticas, prácticas y tecnología para proteger aún más a Uber de futuros ataques”.
Fuente: The New York Times.
This post is also available in: Português Español