Uber, geçen hafta kendi iç sistemlerinin ihlalinden Lapsus$ hack grubuyla ilişkili bir bilgisayar korsanının sorumlu olduğunu söylerken, saldırı sırasında hiçbir müşteri veya kullanıcı verisinin güvenliğinin ihlal edilmediğini yineledi.
Geçen Perşembe günü keşfedilen hack, şirketi Slack, Amazon Web Services ve Google Cloud Platform dahil olmak üzere birçok dahili sistemini çevrimdışına almaya zorladı.
Video oyunu yapımcısı Rockstar Games’in de Uber’e saldıranla aynı kişi olduğunu iddia eden bir bilgisayar korsanı tarafından ihlal edilmesinden birkaç gün önce meydana geldi. Şirketin yayınlanmamış onlarca videosu Grand Theft Auto VI internete sızdırıldı. Güvenlik güncellemesindeUber, Rockstar Games hackine atıfta bulunuyor ancak bunun aynı saldırgan olduğunu doğrulamaz.
Şirket, soruşturma devam ederken FBI ve ABD Adalet Bakanlığı ile yakın temas halinde olduğunu söyledi.
Uber, bilgisayar korsanının bazı dahili Slack mesajlarının yanı sıra şirketin finans ekibi tarafından faturaları yönetmek için kullanılan dahili bir araçtan gelen bilgileri indirdiğini doğruladı. Şirket yaptığı açıklamada, “Şu anda bu indirmeleri analiz ediyoruz” dedi.
Lapsus$, fidye yazılımı saldırısı düzenlediği bilinen bir bilgisayar korsanlığı grubudur. Brezilya Sağlık Bakanlığı’na karşı Aralık 2021’de, ülke içindeki milyonlarca COVID-19 aşı verisini tehlikeye attı. Ayrıca Nvidia, Samsung, Microsoft’tan veri çalan bir dizi yüksek profilli şirketi hedef aldı. Vodafone. Londra polisi, bu yılın başlarında hepsi genç olan grubun birkaç üyesini tutukladı.
Uber, ihlalle ilgili güncellemesinde saldırıyla ilgili yeni ayrıntıları doğruladı. Şirket, saldırganın, yüklenicinin kişisel cihazına kötü amaçlı yazılım bulaştıktan ve bu kimlik bilgilerini ifşa ettikten sonra, karanlık ağda bir Uber yüklenicisinin kurumsal şifresini satın aldığını söyledi.
Şirket, “Saldırgan daha sonra müteahhitin Uber hesabına tekrar tekrar giriş yapmaya çalıştı” dedi. “Her seferinde yüklenici, başlangıçta erişimi engelleyen iki faktörlü bir oturum açma onayı talebi aldı. Ancak sonunda müteahhit bir tanesini kabul etti ve saldırgan başarıyla giriş yaptı.”
(Daha önce, iddia edilen bilgisayar korsanı, kurumsal bir BT görevlisi gibi davranarak kandırdığı bir şirket çalışanından Uber’in sistemlerine erişime izin veren bir şifre aldığını iddia etti – sosyal mühendislik olarak bilinen bir teknik.)
Bilgisayar korsanı daha sonra diğer birkaç Uber çalışan hesabına erişerek G Suite ve Slack dahil olmak üzere bir dizi şirket içi araç için kademeli olarak daha fazla izin kazandı. Saldırgan daha sonra şirket çapında bir Slack kanalına bir mesaj gönderdi ve şirket, “Uber’in OpenDNS’sini, bazı dahili sitelerdeki çalışanlara grafik bir görüntü gösterecek şekilde yeniden yapılandırdı” dedi.
Bilgisayar korsanı nihayetinde şirketin dahili Slack sistemine bir mesaj göndererek kendilerini Uber’in çalışanlarına duyurdu. “Bir bilgisayar korsanı olduğumu ve Uber’in bir veri ihlaline maruz kaldığını ilan ediyorum” mesajın ekran görüntüleri Twitter’da dolaşan oku. İddia edilen bilgisayar korsanı daha sonra eriştiklerini söyledikleri gizli şirket bilgilerini listeledi ve Uber’in sürücülerine düşük ödeme yaptığını söyleyen bir hashtag yayınladı.
Uber, hesapları ele geçirilen çalışanları ve yüklenicileri şifrelerini değiştirmeye zorlayarak ve bunu yapana kadar belirli dahili sistemlerden onları kısıtlayarak yanıt verdiğini söyledi. Ayrıca, Uber’in birçok dahili hizmetine anahtarları döndürdü – erişimi etkin bir şekilde sıfırladı. Ve henüz herhangi bir değişiklik tespit etmediğini iddia etse de, yeni kod değişikliklerini önleyerek kendi kod tabanını kilitledi.
Uber ayrıca, kişisel bilgilerin ve finansal verilerin tanımlanması da dahil olmak üzere hassas müşteri verilerinin güvenli olduğunu iddia ediyor.
Her şeyden önce, saldırganın uygulamalarımıza güç sağlayan üretim (yani herkese açık) sistemlere eriştiğini görmedik; herhangi bir kullanıcı hesabı; veya kredi kartı numaraları, kullanıcı banka hesap bilgileri veya seyahat geçmişi gibi hassas kullanıcı bilgilerini depolamak için kullandığımız veritabanları. Ayrıca kredi kartı bilgilerini ve kişisel sağlık verilerini şifreleyerek daha fazla koruma katmanı sunuyoruz.
Uber, bilgisayar korsanının güvenlik araştırmacılarının hataları ve güvenlik açıklarını bildirdiği HackerOne’daki şirketin panosuna eriştiğini söyledi. Şirket, “Ancak, saldırganın erişebildiği tüm hata raporları düzeltildi” diyor.
Uber, kolluk kuvvetlerine ek olarak, devam eden soruşturmasının bir parçası olarak “önde gelen birkaç dijital adli tıp firması” ile de çalıştığını söylüyor.
Şirket, “Uber’i gelecekteki saldırılara karşı daha fazla korumak için politikalarımızı, uygulamalarımızı ve teknolojimizi güçlendirmeye devam etmek için bu fırsatı kullanacağız” dedi.