اوبر لاپسوس دلار را عامل نقض امنیت میداند و میگوید آنها اعتبارنامهها را از وب تاریک خریداری کردهاند
در حالی که مهاجم به چندین سیستم داخلی دسترسی داشت، اوبر گفت به نظر نمیرسد که آنها به هیچ سیستم عمومی، هیچ حساب کاربری یا پایگاه دادهای که اطلاعات حساس کاربر مانند شماره کارت اعتباری را ذخیره میکند نفوذ نکردهاند. علاوه بر این، اوبر گفت که به نظر نمی رسد مهاجم به اطلاعات مشتری یا کاربر ذخیره شده توسط ارائه دهندگان ابری خود دسترسی داشته باشد.
با این حال، اوبر روز دوشنبه تصریح کرد که هکر با استفاده از اعتبارنامه های یک پیمانکار شخص ثالث دسترسی پیدا کرده است. علاوه بر این، این شرکت گفت که “احتمالا” هکر Lapsus$ پس از آلوده شدن دستگاه شخصی پیمانکار به بدافزار، رمز عبور شرکتی Uber پیمانکار را با خرید آن در وب تاریک به دست آورده است.
روز پنجشنبه، پس از ارسال یک هکر به یک کانال Slack در سراسر شرکت، اخبار مربوط به این نقض منتشر شد. سپس مهاجم OpenDNS Uber را برای نمایش یک تصویر گرافیکی برای کارمندان در برخی از سایتهای داخلی مجدداً پیکربندی کرد.
تصویر: Getty Images
مهاجم به نیویورک تایمز گفت که آنها از طریق یک طرح مهندسی اجتماعی به سیستمهای اوبر دسترسی پیدا کردند: آنها یک پیام متنی به یکی از کارمندان اوبر ارسال کردند که ادعا میکرد کارمند فناوری اطلاعات شرکت است، که این کارمند را متقاعد کرد که رمز عبور را فاش کند.
اوبر در یک گزارش گفت، نقض امنیتی که هفته گذشته به اوبر رسید، کار Lapsus$ بود پست وبلاگ دوشنبه. این گروه هکر آمریکای جنوبی در سال گذشته به تعدادی از غول های فناوری از جمله مایکروسافت، سامسونگ، اوکتا و غیره حمله کرده است.
اوبر گفت که با FBI و وزارت دادگستری ایالات متحده در این مورد هماهنگ است.
هکر برخی از پیام های داخلی و همچنین اطلاعات یک تیم مالی داخلی را دانلود کرد. آنها همچنین به داشبورد Uber در HackerOne دسترسی پیدا کردند، جایی که محققان امنیتی اشکالات و آسیبپذیریها را گزارش میکنند. با این حال، اوبر گفت، هر گونه گزارش اشکالی که مهاجم می توانست به آن دسترسی داشته باشد، اصلاح شده است.
پس از آن، اوبر گفت، هکر بارها سعی کرد به حساب Uber پیمانکار وارد شود اما با درخواست تایید ورود دو عاملی مانع شد. با این حال، پیمانکار در نهایت یکی از آن درخواست ها را پذیرفت. از آنجا، مهاجم مجوزهای بالایی را برای تعدادی ابزار داخلی از جمله G-Suite و Slack به دست آورد.