Yolculuk paylaşımı devi Uber, iç sistemlerinin güvenliğinin ihlal edildiğini keşfettikten sonra Perşembe günü geç saatlerde bazı operasyonlarını çevrimdışına aldı. Şirket, saldırganın ağın daha derinlerine inmeden önce bir çalışan Slack hesabına sosyal mühendislik yoluyla girebildiğini söyledi.
İhlalin kapsamı henüz tam olarak ortaya çıkmasa da, saldırının sorumluluğunu üstlenen kişi (bildirildiğine göre bir genç) çok sayıda e-postaya, Google Cloud depolama alanından çalınan verilere ve Uber’in The New York Times da dahil olmak üzere bazı siber güvenlik araştırmacılarına ve medya kuruluşlarına gönderdiği “kanıtı” olan tescilli kaynak koduna sahip olduğunu iddia etti.
Yuga Labs güvenlik mühendisi Sam Curry, “Uber’e neredeyse tam erişime sahipler,” dedi. Times’a söyledi. “Bu, göründüğünden tam bir uzlaşma.”
Slack işbirliği platformu, çevrimdışına alınan ilk sistemdi, ancak raporlara göre diğer dahili sistemler hızla takip edildi. Saldırgan, devre dışı bırakmadan hemen önce Uber çalışanlarına (bazıları Twitter’da paylaştı): “Bir bilgisayar korsanı olduğumu ve Uber’in bir veri ihlaline maruz kaldığını duyuruyorum.”
Suçlu ayrıca araştırmacılara ve medyaya, ihlalin bir Uber çalışanına kurumsal BT’den geldiği iddia edilen bir kısa mesajla başladığını söyledi. “Teknik destek” mesajı, çalışanın teslim ettiği bir şifre istedi.
“Henüz resmi bir açıklama yapılmamış olsa da, saldırgan olduğunu iddia eden biri… davetsiz misafirin daha geniş Uber ağına erişmek için kurumsal VPN’ye bağlanabildiğini ve ardından yönetici şeklinde altına düştüğünü açıklıyor. Arctic Wolf’un strateji başkan yardımcısı Ian McShane yaptığı açıklamada, “kimlik bilgileri bir ağ paylaşımında düz metin olarak saklanıyor” dedi. “Bu, giriş seviyesi oldukça düşük bir saldırı ve tüketici odaklı saldırganların Microsoft olduğunu iddia eden kişileri aramasına ve son kullanıcıya keylogger veya uzaktan erişim araçları yüklemesine benzer bir şey.”
Bir Uber sözcüsü Times’a yaptığı bir basın açıklamasında, giriş noktasının sosyal mühendislik olduğunu doğruladı ve şirketin ihlali araştırmak için kolluk kuvvetleriyle birlikte çalıştığını söyledi. Herkese açık olarak, Twitter aracılığıyla, şirket gönderildi“Şu anda bir siber güvenlik olayına müdahale ediyoruz. Kolluk kuvvetleriyle temas halindeyiz ve ek güncellemeler geldikçe burada yayınlayacağız.”
Raporlara göre, bilgisayar korsanı 18 yaşında olduğunu söyledi ve zayıf güvenliğini göstermek için şirketi hedef aldı; Hacktivist bir unsur da olabilir, çünkü Slack mesajında çalışanlara Uber sürücülerine daha fazla ödeme yapılması gerektiğini de ilan etti.
McShane, “Sahip olduklarını iddia ettikleri erişim göz önüne alındığında, saldırganın fidye veya şantaj girişiminde bulunmamış olmasına şaşırdım, görünüşe göre bunu ‘sonsuzluk için’ yapmışlar,” diye ekledi McShane.
Uber’in İlk Veri İhlali Yolculuğu Değil
Uber, 2016’da başka bir büyük ihlale maruz kaldı. Bu olayda, siber saldırganlar 57 milyon müşteri ve sürücü için kişisel bilgilerle kaçtı ve verileri silahlandırmamak karşılığında 100.000 dolar talep etti (şirket ödedi). Daha sonraki bir ceza soruşturması, kovuşturma dışı anlaşma ABD Adalet Bakanlığı ile bu yaz, Uber’in bir yıldan fazla bir süredir ifşa etmediği ihlalin tamamını aktif olarak örtbas ettiğini kabul ettiğini kabul etti.
Ayrıca, daha önceki isabetle ilgili olarak, 2018’de Uber, 50 eyalete ve DC’ye 148 milyon dolar ödeyerek ve ironik bir şekilde yeni gelişmeler göz önüne alındığında, “bir kurumsal bütünlük programı, belirli veri güvenliği önlemleri ve iki yılda bir yapılan değerlendirmelerle birlikte olay müdahalesi ve veri ihlali bildirim planları.”