Вчера вечером популярная компания Uber объявила, что реагирует на инцидент с кибербезопасностью, но не предоставила никаких дополнительных подробностей, кроме того, что компания связалась с правоохранительными органами. Однако информация об инциденте не заставила себя долго ждать. Неизвестный злоумышленник утверждает, что получил несанкционированный доступ ко всем внутренним сторонним службам Uber.

Этот анонимный хакер обратился к нескольким изданиям и исследователям кибербезопасности, взяв на себя ответственность за инцидент и предоставив информацию о себе и взломе. В разговоре с журналистами The New York Times хакер назвал себя 18-летним. Согласно твитам Кевина Бомонта, он утверждал, что получил первоначальный доступ к внутренней сети Uber, проведя атаку Fatigue MFA (многофакторная аутентификация) против одного из сотрудников компании.

Хакер более часа рассылал спам сотруднику Uber запросами аутентификации MFA, а затем отправил сотруднику сообщение в WhatsApp. Утверждая, что он является сотрудником ИТ-отдела Uber, хакер сказал сотруднику принять запрос на аутентификацию, чтобы прекратить постоянные уведомления. К сожалению, сотрудник был обманут этой схемой социальной инженерии и выполнил запрос, предоставив злоумышленнику доступ к VPN компании.

Согласно сообщениям Telegram, которыми поделился Корбен Лео, злоумышленник подключился к VPN и просканировал внутреннюю сеть Uber, обнаружив несколько сценариев PowerShell в сетевом ресурсе. Сценарии powershell содержали учетные данные для входа в учетную запись администратора Thycotic, поскольку Thycotic является платформой управления привилегированным доступом (PAM). Хакер использовал эти учетные данные для входа в Thycotic и извлечения секретных ключей для всех подключенных сервисов Uber.

Злоумышленник опубликовал скриншоты, демонстрирующие доказательства несанкционированного доступа к Uber AWS, системе отслеживания ошибок HackerOne, панели администрирования SentinalOne, рабочему пространству Slack, платформе виртуализации VMware vSphere, рабочему пространству Google и финансовым данным. Он также утверждает, что получил доступ к сервису двухфакторной аутентификации Uber Duo, рабочему пространству Confluence и двум монорепозиториям из пакета разработки компании Phabricator.

Система отслеживания ошибок Uber HackerOne была отключена, предположительно, в ответ на взлом, но это действие, вероятно, было предпринято слишком поздно. Похоже, что хакер получил доступ ко всем тикетам компании по поиску ошибок, о чем свидетельствуют комментарии "UBER HAS BEEN HACKED", оставленные на каждом тикете. Он также оставил сообщение в рабочей области Slack компании о взломе, но сотрудники Uber, по-видимому, сначала не восприняли это сообщение всерьез. По словам неназванных сотрудников Uber, которые разговаривали с Сэмом Карри, сотрудники компании восприняли сообщение как шутку и высмеяли хакера, даже после того, как Uber отправил своим сотрудникам срочное уведомление с просьбой прекратить использовать Slack.

Хотя Uber все еще расследует инцидент и реагирует на него, его предварительное расследование не выявило никаких доказательств того, что хакер получил доступ к "конфиденциальным данным пользователей". Компания также сообщает, что все ее сервисы в настоящее время работают, а ее внутренние программные инструменты снова работают.