Компания Uber снова пострадала от взлома. На этот раз компрометация коснулась поставщика Uber, компании Teqtivity, занимающейся трекинговыми услугами и управлением ресурсами. В результате в руки хакеров попали email-адреса сотрудников, корпоративные отчеты и информация об ИТ-активах.
В минувшие выходные злоумышленник под ником UberLeaks начал «сливать» на хакерском форуме данные якобы похищенные у Uber и Uber Eats. Дамп содержит многочисленные архивы и исходные коды, связанные с MDM-платформами, которые используются в Uber и Uber Eats, а также сервисами стороннего поставщика.
Злоумышленник создал четыре отдельные темы, связанные с утечкой: по одной для Uber MDM на uberhub.uberinternal.com, Uber Eats MDM, а также для платформ Teqtivity MDM и TripActions MDM. При этом в каждой из тем упоминается участник известной хакерской группы Lapsus$, которая известная благодаря многочисленным громким атакам, включая и сентябрьскую атаку на Uber, в ходе которой злоумышленники получили доступ к внутренней сети компании и серверу Slack.
Журналисты издания Bleeping Computer, изучившие дамп, сообщают, что утечка состоит из исходников, отчетов об управлении ИТ-активами, отчетов об уничтожении данных, содержит имена для входа в домен Windows, адреса электронной почты и другую корпоративную информацию.
К примеру, один из документов в дампе содержит email-адреса и информацию Windows Active Directory более чем для 77 000 сотрудников Uber. При этом отмечается, что утечка не содержит данных клиентов Uber и связана только с внутренней корпоративной информацией.
Исходно журналисты предположили, что опубликованные данные были похищены еще во время сентябрьской атаки, однако представители Uber заверили, что «слив» связан с компрометацией стороннего поставщика.
Как выяснилось, пострадавшим от рук хакеров поставщиком была компания Teqtivity. В Uber ссылаются на заявление самой компании, которое гласит, что злоумышленники получили доступ к серверу резервного копирования Teqtivity AWS, где хранились данные клиентов. Таким образом хакеры получили доступ к следующей информации о компаниях, сотрудничающих с Teqtivity:
- данные об устройстве — серийный номер, марка, модель, технические характеристики;
- информация о пользователе — имя, фамилия, рабочий адрес электронной почты, сведения о месте работы.
Также в Uber сообщили, что исходный код, который теперь сливают на хак-форуме, был создан Teqtivity для управления сервисами Uber. В компании подчеркнули, что группировка Lapsus$ не имеет отношения к этому взлому.
Хотя в сообщениях хакера утверждается, что злоумышленники взломали uberinternal.com, представители компании говорят, что не обнаружили несанкционированного доступа к своим системам.
«Сторонний поставщик все еще проводит расследование, но уже подтверждает, что данные, которые мы видели, поступили из его систем, и на сегодняшний день мы не обнаружили никакого вредоносного доступа к внутренним системам Uber», — заявили в компании.
