21/09/22
Uber считает, что взломавший их системы хакер связан с группировкой Lapsus$, о которой мы знаем благодаря громким атакам на Microsoft, Cisco, Samsung, Nvidia, Okta и свежему сливу игровых роликов GTA 6.
В своем блоге Uber заявила, что активно проводит расследование, работая с несколькими ведущими фирмами в области цифровой криминалистики. Компания планирует воспользоваться этим, чтобы укрепить свои системы для защиты от будущих атак. Кроме того, Uber начала активно искать ИБ-специалистов по всей территории США.
В ходе расследования компания выяснила, что хакер взломал подрядчика Uber EXT, передает Securitylab. Скорее всего, злоумышленник приобрел пароли от учетных записей сотрудников в дарвебе. Двухфакторная защита не помогла – один из сотрудников по неизвестной причине принял запрос хакера.
После этого киберпреступник получил доступ к учетным записям нескольких других сотрудников и в конце концов получил повышенные права в G-Suite и Slack. Их было достаточно, чтобы разместить сообщение корпоративном Slack-канале и перенастроить OpenDNS Uber на показ графического изображения на некоторых внутренних сайтах компании.
Uber уже выявила скомпрометированные или потенциально скомпрометированные учетные записи сотрудников и либо заблокировала их доступ к Uber, либо потребовала сбросить пароль. Компания также отключила многие потенциально затронутые внутренние службы и заблокировала их кодовую базу.
По оценке Uber, хакер не смог получить доступ к средам разработки, учетным записям пользователей или базам данных, используемым для хранения конфиденциальной информации пользователей (данные кредитных карт, банковских счетов или истории поездок).
