El día de ayer la plataforma de movilidad estadounidense Uber confirmó a través de su cuenta que fue víctima de un “incidente de seguridad”. Debido a ello, la empresa se vio en la necesidad de desconectar su servicio de mensajería interna y sus sistemas de ingeniería para investigar lo ocurrido.
Aparentemente, el ataque fue una imitación del ataque 2016 que comprometió los datos personales de 57 millones de usuarios, por lo que se dice que Uber no solucionó un agujero de seguridad masivo, lo que permitió realizar el mismo ataque seis años después.
Aunque la empresa no ha revelado mayores detalles, se sabe que el responsable del hecho no se molestó en ocultar lo que estaba realizando. El hacker anunció su cometido en uno de los canales de Slack de la compañía.
“Hola @aquí
Anuncio que soy un hacker y que Uber ha sufrido una violación de datos.
Slack ha sido robado, datos confidenciales con Confluence, stash y 2 monorepos de phabricator también han sido robados, junto con secretos de zapatillas.
#uberunderpaisdrivers [sic]”
El ciberdeliencuente accedió a varios sistemas internos de la compañía, incluidos sus canales de Slack, también afirmó tener el control total de los servidores basados en la nube de la empresa y más. Esto incluye los servidores de la compañía tanto en Amazon Web Services como en GSuite de Google.
Por su parte, el comunicado que publicó Uber en su Twitter dice:
"Actualmente estamos respondiendo a un incidente de ciberseguridad. Estamos en contacto con las fuerzas del orden y publicaremos aquí actualizaciones adicionales cuando estén disponibles."
A pesar que los empleados no han sido informados con gran detalle de lo ocurrido, una de las fuentes encontró un correo electrónico de uno de los ejecutivos de Uber donde informó a los empleados que el hackeo estaba bajo investigación. "No tenemos una estimación ahora mismo de cuándo se restaurará el acceso completo a las herramientas, así que gracias por tener paciencia", escribió Latha Maripuri, directora de seguridad de la información de Uber.
Entretanto, uno de los investigadores demostró como el hacker de manera "sencilla" logró vulnerar el sistema. Según explica, hicieron ingeniería social con un empleado para conseguir su VPN y su login de Slack. Una vez en Slack, encontraron un enlace a una red compartida. El recurso compartido contenía scripts de Powershell y uno de ellos incluía el nombre de usuario y la contraseña de un administrador de Uber, esas credenciales les dieron acceso a todo lo demás.
La persona que se atribuyó la responsabilidad del hackeo dijo que había enviado un mensaje de texto a un trabajador de Uber diciendo que era una persona de tecnología de la información corporativa. El trabajador fue persuadido para que entregara una contraseña que permitiera al hacker acceder a los sistemas de Uber, una técnica conocida como ingeniería social.
"Uber fue hackeado.
El hacker realizó ingeniería social a un empleado, se conectó a la VPN y escaneó su intranet."
"Aparentemente había una red interna compartida que contenía scripts de powershell...
Uno de los scripts de powershell contenía el nombre de usuario y la contraseña de un usuario administrador en Thycotic (PAM) Usando esto pude extraer los secretos de todos los servicios, DA, DUO, Onelogin, AWS, GSuite."
Sam Curry un ingeniero de seguridad de Yuga Labs publicó en su Twitter lo siguiente: "Alguien hackeó una cuenta de HackerOne de empleados de Uber y está comentando todos los tickets. Es probable que tengan acceso a todos los informes de Uber HackerOne."
También aseguró haberse comunicado con la persona que dijo ser responsable de la brecha e indicó que,"tienen prácticamente todo el acceso a Uber, esto es un compromiso total, por lo que parece."
Los scripts con credenciales incrustadas, por no hablar de las credenciales de administrador, son un verdadero fallo de seguridad masivo. También lo sería no haber insistido a los empleados en la importancia de no revelar nunca sus contraseñas.
Esto ya sería bastante grave si no hubiera ocurrido antes, pero ya ha ocurrido.
Por el momento se desconoce si el hacker de Uber accedió a los datos de los usuarios, ya que al parecer, el acceso obtenido por el hacker incluiría la posibilidad de ver los datos de los clientes, pero aún no se ha confirmado si lo hicieron.