Uber, una de las plataformas de transporte particular y delivery más popular del mundo, ha comentado de manera pública que el responsable detrás del ataque contra la infraestructura TI el pasado 15 de septiembre del presente año, sería un afiliado del grupo Lapsus$, grupo bien conocido en el mundo de la ciberseguridad por violar la seguridad otras compañías tecnológicas de alto perfil como Microsoft, Cisco, NVIDIA, Samsung y Okta.
La compañía agregó que el atacante usó las credenciales robadas de un contratista de Uber externo en un ataque de fatiga de MFA, donde el contratista fue inundado con solicitudes de inicio de sesión con el segundo factor de autentificación (2FA) hasta que la víctima aceptó una de las solicitudes.
Esta táctica del uso de la ingeniería social se ha vuelto muy popular en ataques recientes dirigidos a empresas conocidas en todo el mundo, incluidas Twitter, Robinhood, MailChimp y Okta.
«A partir de ahí, el atacante accedió a varias otras cuentas de empleados que finalmente le dieron al atacante permisos elevados para una serie de herramientas, incluidas G-Suite y Slack«, explicó Uber en una actualización de la declaración original.
«El atacante luego publicó un mensaje en un canal de Slack en toda la compañía, que muchos de ustedes vieron, y reconfiguró el OpenDNS de Uber para mostrar una imagen gráfica a los empleados en algunos sitios internos«.
La compañía agregó que no encontró evidencia de que el actor de la amenaza pudiera acceder a los sistemas de producción que almacenan información confidencial del usuario, incluidos datos personales y financieros (por ejemplo, números de tarjetas de crédito, información de la cuenta bancaria del usuario, datos personales de salud o historial de viajes).
Por el momento, la compañía está investigando el incidente con la ayuda del FBI y el Departamento de Justicia de los Estados Unidos.
«Estamos en una estrecha coordinación con el FBI y el Departamento de Justicia de los Estados Unidos en este asunto y continuaremos apoyando sus esfuerzos«, agregó Uber.
También, Uber dice que ha tomado algunas medidas para prevenir futuras infiltraciones utilizando tales tácticas, que incluyen:
- Identificar cualquier cuenta de empleado que estuviera comprometida o potencialmente comprometida y bloqueando su acceso a los sistemas de Uber o requerimos un restablecimiento de contraseña.
- Deshabilitar muchas herramientas internas afectadas o potencialmente afectadas.
- Rotar las teclas (restableciendo efectivamente el acceso) a muchos de los servicios internos.
- Bloquear nuestra base de código, evitando cualquier cambio de código nuevo.
- Al restaurar el acceso a las herramientas internas, requerir que los empleados se volvieran a autenticar. También están fortaleciendo aún más las políticas de autenticación multifactor (MFA).
- Agregar un monitoreo adicional de nuestro entorno interno para vigilar aún más de cerca cualquier otra actividad sospechosa.
Uber agregó que aún no ha descubierto pruebas de que el atacante haya accedido e inyectado cualquier código malicioso dentro de su base de código.
«En primer lugar, no hemos visto que el atacante accediera a los sistemas de producción (es decir, de cara al público) que alimentan nuestras aplicaciones; cualquier cuenta de usuario; o las bases de datos que utilizamos para almacenar información confidencial del usuario, como números de tarjetas de crédito, información de cuentas bancarias de usuarios o historial de viajes. También ciframos la información de la tarjeta de crédito y los datos personales de salud, ofreciendo una capa adicional de protección», dijo Uber.
«Revisamos nuestra base de código y no hemos encontrado que el atacante haya realizado ningún cambio. Tampoco hemos encontrado que el atacante haya accedido a ningún dato de nuestros clientes o usuarios almacenados por nuestros proveedores de nube (por ejemplo, AWS S3)«.
Desafortunadamente, la intrusión resultó en el acceso a cierta información confidencial, incluidas algunas de las facturas de Uber de una herramienta interna utilizada por el equipo de finanzas de la compañía y los informes de vulnerabilidad de HackerOne.
«Sin embargo, cualquier informe de error al que el atacante pudo acceder ha sido remediado«, dijo la compañía. Desde entonces, HackerOne ha deshabilitado el programa de recompensas por errores de Uber, cortando así el acceso a las vulnerabilidades reveladas de Uber.
El atacante (conocido como «teapots2022«) también se jacto de la violación del estudio de videojuegos Rockstar Games (bajo el apodo de «teapotuberhacker» en GTAForums), durante el fin de semana, después de filtrar más de 90 gameplays del juego y capturas de pantalla del código fuente de Grand Theft Auto V y Grand Theft Auto VI como evidencia de su «hazaña».
Alerta Temprana de Riesgos Cibernéticos
Gestión de la Superficie de Ataque
Cyber Threat Intelligence
