Uber sufre un gigantesco hackeo: hacker afirma haber accedido a todos los sistemas
Uber descubrió que su red informática había sido vulnerada el jueves. Esto llevó a la compañía a desconectar varios de sus sistemas de ingeniería y comunicaciones internas mientras investigaba el alcance del ataque.
El incidente aparentemente comprometió muchos de los sistemas internos de Uber. Una persona que se atribuyó la responsabilidad del ataque envió imágenes de correo electrónico, almacenamiento en la nube y repositorios de códigos a los investigadores de seguridad cibernética y al New York Times.
“Prácticamente tienen acceso completo a Uber”, dijo Sam Curry, un ingeniero de seguridad de Yuga Labs que mantuvo correspondencia con la persona que afirmó ser responsable del ataque. “Este es un compromiso total, por lo que parece”.
Desde entonces, Uber ha confirmado el ataque, tuiteando que están en contacto con la policía y publicarán información adicional a medida que esté disponible.
A los empleados de Uber se les indicó que no usaran el servicio de mensajería interna de la empresa, Slack. Además, empleados dijeron que descubrieron que otros sistemas internos estaban inaccesibles y que no estaban autorizados a hablar en público.
Poco antes de que el sistema de Slack fuera desconectado el jueves por la tarde, los empleados de Uber recibieron un mensaje que decía: “Anuncio que soy un hacker y Uber ha sufrido una filtración de datos”. El mensaje fue mostrado en varias bases de datos internas que, según el hacker, habían sido comprometidas.
Ataque
El hacker comprometió la cuenta de Slack de un trabajador y la usó para enviar el mensaje, dijo el portavoz de Uber. Al parecer, el hacker posteriormente pudo obtener acceso a otros sistemas internos, publicando una foto explícita en una página de información interna para los empleados.
La persona que se atribuyó la responsabilidad del ataque le dijo a The New York Times que había enviado un mensaje de texto a un trabajador de Uber en el que afirmaba ser una persona encargada de la infraestructura tecnológica corporativa.Él persuadió al trabajador para que entregara una contraseña que le permitió acceder a los sistemas de Uber. Esta es una técnica conocida como ingeniería social.
“Este tipo de ataques de ingeniería social para acceder a las empresas de tecnología ha ido en aumento”.
Rachel Tobac, directora ejecutiva de SocialProof Security.
Tobac señaló el hackeo de Twitter de 2020, en el que los adolescentes usaron ingeniería social para ingresar a la empresa. Además, se utilizaron técnicas de ingeniería social similares en infracciones recientes en Microsoft y Okta.
“Estamos viendo que los atacantes se están volviendo inteligentes y también están documentando lo que funciona. Ahora tienen kits que facilitan la implementación y el uso de estos métodos de ingeniería social. Se ha convertido casi en un producto básico”.
Rachel Tobac.
Otros sistemas a los que accedió el hackers incluyen la consola de Amazon Web Services de la empresa, las máquinas virtuales VMware ESXi y el panel de administración de correo electrónico de Google Workspace.
Prueba del ataque
El hacker, que proporcionó capturas de pantalla de los sistemas internos de Uber para demostrar su acceso. Asimismo, afirmó que tenía 18 años y que había estado trabajando en sus habilidades de ciberseguridad durante varios años. Él dijo que había irrumpido en los sistemas de Uber porque la empresa tenía poca seguridad. En el mensaje de Slack que anunció la infracción, la persona también dijo que los conductores de Uber deberían recibir un salario más alto.
El atacante parece tener acceso al código fuente, correo electrónico y otros sistemas internos de Uber, dijo Curry.
“Parece que tal vez es un niño que se metió a los sistemas en Uber y no sabe qué hacer ahí, y está pasando el mejor momento de su vida”.
Si bien es posible que el atacante robara datos y código fuente de Uber durante este ataque, también tuvo acceso a lo que podría ser un activo aún más valioso.
Según Curry, el hacker también tuvo acceso al programa de recompensas por errores de HackerOne de la compañía.
Uber ejecuta un programa de recompensas por errores en HackerOne que permite a los investigadores de seguridad revelar de forma privada vulnerabilidades en sus sistemas y aplicaciones a cambio de una recompensa monetaria por errores. Estos informes de vulnerabilidad deben mantenerse confidenciales hasta que se pueda publicar una solución para evitar que los atacantes los exploten en los ataques.
Acceso a vulnerabilidades
Curry afirmó que un empleado de Uber dijo que el atacante tenía acceso a todas las presentaciones de vulnerabilidades privadas de la compañía en HackerOne.
Una fuente también afirmó que el atacante descargó todos los informes de vulnerabilidad antes de perder el acceso al programa de recompensas por errores de Uber. Esto probablemente incluye informes de vulnerabilidad que no se han solucionado, lo que presenta un grave riesgo de seguridad para Uber.
Desde entonces, HackerOne ha desactivado el programa de recompensas por errores de Uber, cortando el acceso a las vulnerabilidades reveladas.
Sin embargo, no sería sorprendente que el atacante ya hubiera descargado los informes de vulnerabilidad y probablemente los vendiera a otros hackers.
Respuesta de Uber
En un correo electrónico interno observado por The New York Times, un ejecutivo de Uber les dijo a los empleados que el ataque estaba bajo investigación.
“En este momento no tenemos una estimación de cuándo se restablecerá el acceso completo a las herramientas, así que gracias por su paciencia”.
Latha Maripuri, directora de seguridad de la información de Uber.
No es la primera vez que un hacker roba datos de Uber. En 2016, los hackers robaron información de 57 millones de cuentas de conductores y pasajeros y luego se acercaron a Uber y exigieron $100,000 para eliminar su copia de los datos. Uber arregló el pago pero mantuvo el incidente en secreto durante más de un año.
Joe Sullivan, quien era el principal ejecutivo de seguridad de Uber en ese momento, fue despedido por su papel en la respuesta de la empresa al ataque. Sullivan fue acusado de obstruir la justicia por no revelar la infracción a los reguladores y actualmente está siendo juzgado.
Los abogados de Sullivan han argumentado que otros empleados eran responsables de las divulgaciones reglamentarias y dijeron que la empresa había convertido a Sullivan en el chivo expiatorio.
