Uber admitió la noche del jueves ser víctima de un ciberataque.
De acuerdo con reportes, la plataforma de movilidad tuvo que desconectar algunas de sus operaciones, luego de que un atacante pudo entrar mediante una cuenta de Slack de un empleado.
Un presunto adolescente de apenas 18 años es quien se adjudica la autoría de la filtración y quien aseguró tener valiosos correos electrónicos, datos robados del almacenamiento de Google Cloud y el código fuente patentado de Uber.
Las “pruebas” del ataque fueron enviadas a algunos investigadores de ciberseguridad y medios de comunicación, como The New York Times.
Uber investiga el ciberataque con la policía
Uber no ha dado detalles del ciberataque. La única declaración que ha hecho ha sido mediante una cuenta oficial de Twitter en la que publicó:
“Actualmente estamos respondiendo a un incidente de ciberseguridad. Estamos en contacto con la policía y publicaremos actualizaciones adicionales aquí a medida que estén disponibles”.
We are currently responding to a cybersecurity incident. We are in touch with law enforcement and will post additional updates here as they become available.
— Uber Comms (@Uber_Comms) September 16, 2022
Antes de que la compañía reconociera la filtración, el ingeniero en ciberseguridad de Yuga Labs, Sam Curry, reportó vía Twitter que la cuenta de HackerOne de Uber había sido hackeada y publicaba todos sus reportes en ese sitio.
HackerOne es la plataforma de análisis de vulnerabilidades y recompensas por errores que conecta a las empresas con investigadores de ciberseguridad. En ella, por ejemplo, se reportó una vulnerabilidad de Twitter que fue resuelta por la empresa, pero que aprovechó un ciberdelincuente para filtrar información.
Hacker presume tener “secretos de todos los servicios”
Sam Curry publicó minutos después que “el atacante afirma haber comprometido completamente a Uber, mostrando capturas de pantalla donde son administradores completos en AWS y GCP”.
The attacker is claiming to have completely compromised Uber showing screenshots where they’re full admin on AWS and GCP.
— Sam Curry (@samwcyo) September 16, 2022
Otro analista de ciberseguridad, el CMO de Zellic, Corben Leo, publicó en Twitter, antes de que Uber reconociera el ataque, que el atacante aplicó una ingeniería social a un empleado que inició sesión en la VPN y escaneó su intranet.
Aparentemente, detalló Leo, había un recurso compartido de red interno que contenía scripts de PowerShell y citó al hacker: “Uno de los scripts de PowerShell contenía el nombre de usuario y la contraseña de un usuario administrador en Thycotic (PAM). Al usar esto, pude extraer secretos para todos los servicios, DA, DUO, Onelogin, AWS, GSuite”
Apparently there was an internal network share that contained powershell scripts…
"One of the powershell scripts contained the username and password for a admin user in Thycotic (PAM) Using this i was able to extract secrets for all services, DA, DUO, Onelogin, AWS, GSuite" pic.twitter.com/FhszpxxUEW
— Corben Leo (@hacker_) September 16, 2022
“Anuncio que soy un hacker”, el mensaje en Slack
En redes sociales se ha filtrado el mensaje que el ciberatacante envió al personal de Uber vía Slack. “Anuncio que soy un hacker y Uber ha sufrido una violación de datos”, envió.
El atacante enlistó los servicios que habían sido comprometidos y concluyó con el hashtag #uberunderpaisdrives (Uber mal paga a los conductores).
Honestly kind of a classy way to hack someone 😂😂😂@Uber pic.twitter.com/fFUA5xb3wv
— Colton (@ColtonSeal) September 16, 2022
Curry citó a empleados de Uber que pidieron no ser identificados.
“Recibimos un correo electrónico “URGENTE” de seguridad IT que dice que dejemos de usar Slack. Ahora, cada vez que solicito un sitio web, me llevan a una página ELIMINADA con una imagen pornográfica y el mensaje ‘F *** idiotas'”, comentó un colaborador.
Otro más: “En lugar de hacer algo, una buena parte del personal interactuaba y se burlaba del hacker, pensando que alguien le estaba gastando una broma. Después de que avisaran que ya no fueran a Slack, la gente siguió bromeando”.
