Uber sufrió un ciberataque el jueves por la tarde cuando un hacker obtuvo acceso a los informes de vulnerabilidad y compartió capturas de pantalla de los sistemas internos de la empresa, el panel de correo electrónico y el servidor de Slack.
Las capturas de pantalla compartidas por el pirata informático y vistas en Twitter muestran lo que parece ser un acceso completo a muchos sistemas críticos de TI de Uber, incluido el software de seguridad de la empresa y el dominio de Windows.
Otros sistemas a los que accedió el pirata informático incluyen la consola de Amazon Web Services de la empresa, las máquinas virtuales VMware ESXi, el panel de administración de correo electrónico de Google Workspace y el servidor Slack, en el que el pirata informático publicó mensajes.
Desde entonces, Uber ha confirmado el ataque, tuiteando que están en contacto con la policía y publicarán información adicional a medida que esté disponible.
“Actualmente estamos respondiendo a un incidente de seguridad cibernética. Estamos en contacto con la policía y publicaremos actualizaciones adicionales aquí a medida que estén disponibles”, tuiteó la cuenta de Uber Communications.
The New York Times, que fue el primero en informar sobre la violación, dijo que habló con el actor de amenazas, quien dijo que violaron a Uber después de realizar un ataque de ingeniería social contra un empleado y robar su contraseña.
Si bien es posible que el actor de amenazas robara datos y código fuente de Uber durante este ataque, también tuvo acceso a lo que podría ser un activo aún más valioso.
Según el ingeniero de seguridad de Yuga Labs, Sam Curry , el hacker también tuvo acceso al programa de recompensas por errores HackerOne de la compañía, donde comentaron sobre todos los boletos de recompensas por errores de la compañía.
Desde entonces, HackerOne ha desactivado el programa de recompensas por errores de Uber, cortando el acceso a las vulnerabilidades reveladas.
Después de escanear su red interna, el atacante obtuvo credenciales de administrador para Thycotic a través de un script de PowerShell en un recurso compartido de red.
Se ha vulnerado completamente las plataformas internas de Uber, lo compartido hasta el momento es:
Slack:
EDR:
AWS:
Información Financiera:
Adicional, es conocido que su Active Directory también fue vulnerado. Teniendo toda la información sensible el atacante.
El autor, según ha confirmado él mismo al periódico The New York Times, es un joven de 18 años que ha tenido acceso a sistemas e información confidencial de la empresa. Y uso un ataque de ingeniería social que habría dado acceso a la cuenta en Slack de uno de los empleados.
La compañía ha confirmado a través de Twitter que están “respondiendo a un incidente de ciberseguridad”. “Estamos en contacto con la policía y publicaremos actualizaciones adicionales aquí a medida que estén disponibles”, recoge la publicación. Está por ver si el atacante decide publicar información confidencial de la empresa o el incidente se queda ahí.
