Вчера компания Uber подверглась хакерской атаке и в настоящее время расследует произошедшее вместе с представителями правоохранительных органов. Злоумышленник поделился скриншотами внутренних систем компании со СМИ, включая дашборд электронной почты и сервера Slack, но также мог получить доступ к исходным кодам и bug bounty программе компании на HackerOne.
Первой о взломе сообщила газета New York Times, а в настоящее время взлом уже официально подтвержден в Twitter представителями Uber.
Журналистам New York Times удалось пообщаться со злоумышленником, и тот заявил, что ему всего 18 лет, и он взломал Uber «потому что у компании слабая безопасность». Если точнее, дело в социальной инженерии: хакер заявил, что осуществил атаку на одного из сотрудников компании (представился сотрудником поддержки) и похитил его пароль. Взломщик говорит, что больше часа заваливал сотрудника запросами двухфакторной аутентификации и в итоге вынудил его разрешить вход.
После этого злоумышленник получил доступ к корпоративному VPN-компании, используя украденные учетные данные, и начал сканирование внутренней сети в поисках конфиденциальной информации.
По словам хакера, в ходе этих сканирований он обнаружили PowerShell-скрипт, содержавший учетные данные администратора для платформы управления доступом Thycotic. Эту информацию он использовал для получения доступа к другим внутренним сервисам компании.
В свою очередь, издание Bleeping Computer, также изучившее скриншоты предоставленные взломщиком, сообщает, что хакер, похоже, получил полный доступ ко многим критически важным системам Uber, включая защитное ПО компании и домен Windows. Также взломщик добрался до консоли Amazon Web Services, виртуальных машин VMware vSphere/ESXi, панели администратора электронной почты Google Workspace и сервера Slack, на котором публиковал сообщения.
Злоумышленник также взломал сервер Slack и рассылал сотрудникам сообщения о взломе. Сначала эти заявления были встречены мемами и шутками, поскольку сотрудники не понимали, что происходит настоящая атака.
Помимо этого эксперты обратили внимание, что хакер имел доступ к еще более важным данным: к bug bounty программе компании на HackerOne. Там хакер прокомментировал все тикеты, как показано на скриншоте ниже.
По информации инженера компании Yuga Labs Сэма Карри (хакер прокомментировал его баг-репорт двухгодичной давности, чем привлек внимание эксперта), злоумышленник имел доступ ко всем сообщениям об уязвимостях в Uber на HackerOne, включая те, для которых еще нет исправлений. Журналисты Bleeping Computer пишут, что хакер успел скачать все данные, прежде чем лишился доступа.
В настоящее время Uber была вынуждена запретить сотрудникам использовать Slack и отключить из-за взлома часть своих систем, включая bug bounty программу на HackerOne. В компании обещают сообщать дополнительные подробности о случившемся по мере продвижения расследования.
