Uber perşembe günü, raporların bir bilgisayar korsanının iç ağını ihlal ettiğini iddia etmesinin ardından bir siber güvenlik olayına yanıt verdiğini doğruladı.
The New York Times’ın ihlal haberlerini yayımlayan bir raporuna göre, araç çağırma devi perşembe günü ihlali keşfetti ve olayı araştırırken birkaç iç iletişim ve mühendislik sistemini çevrim dışına aldı.
Uber, yaptığı açıklamada, bu siber güvenlik olayını araştırdığını ve kolluk kuvvetleriyle temas halinde olduğunu söyledi ancak ek soruları yanıtlamayı reddetti.
18 yaşında olduğunu iddia eden ihlalin arkasındaki bilgisayar korsanı, Times’a şirketin zayıf güvenlik önlemleri nedeniyle Uber’e saldırdığını söyledi. Saldırgan, bir çalışanın Slack hesabına erişmek için sosyal mühendislik kullandığını ve onları Uber’in sistemlerine erişmelerine izin veren bir şifre vermeye ikna ettiği bildirdi. Bu, Twilio, Mailchimp ve Okta gibi tanınmış şirketlere yönelik son saldırılarda popüler bir taktik haline geldi.
Şirketin Slack sistemi perşembe öğleden sonra çevrim dışına alınmadan kısa bir süre önce, Uber çalışanları, “Ben bir bilgisayar korsanıyım ve Uber’in bir veri ihlaline maruz kaldığını duyuruyorum.” yazan bir mesaj aldı. Bilgisayar korsanının ayrıca Uber sürücülerinin daha yüksek ücret alması gerektiğini söylediği de bildirildi.
Uber İletişim Birimi, olayı aşağıdaki duyuruyla kamuoyuyla paylaşmıştı.
“Şu anda bir siber güvenlik olayına müdahale ediyoruz. Kolluk kuvvetleriyle temas halindeyiz ve ek güncellemeler geldikçe burada yayımlayacağız.”
Siber güvenlik şirketi Acronis’in CISO’su Kevin Reed’e göre, saldırgan bir ağ dosya paylaşımında yüksek ayrıcalıklı kimlik bilgileri buldu ve bunları üretim sistemleri, Uber’in Slack yönetim arayüzü ve şirketin uç nokta algılama ve yanıt (EDR) portalı dahil her şeye erişmek için kullandı.
Reed bir LinkedIn gönderisinde, “Verileriniz Uber’de olsaydı, emin olun pek çok kişi buna erişebilirdi.” dedi ve saldırganın çalışanın kimliğini aldıktan sonra iki faktörlü kimlik doğrulamayı (2FA) nasıl atladığının henüz net olmadığını belirtti.
Saldırganın ayrıca, Uber’in kaynak kodunu ve müşteri verilerini depoladığı Amazon Web Services (AWS) ve Google Cloud (GCP) dahil olmak üzere Uber’in bulut hizmetlerine ve şirketin HackerOne hata ödül programına yönetici erişimi kazandığına inanılıyor.
Yuga Labs’de güvenlik mühendisi Sam Curry, ihlali “büyük taviz” olarak nitelendirdi. Korsanın büyük olasılıkla şirketin tüm güvenlik açığı raporlarına erişimi olduğunu ve bunun da düzeltilmemiş güvenlik açıklarına erişmiş olabileceği anlamına geldiğini söyledi. HackerOne, ihlalden beri Uber hata ödül programını devre dışı bıraktı.
HackerOne CISO’su ve bilgisayar korsanlığı şefi Chris Evans, şirketin Uber’in güvenlik ekibiyle yakın temas halinde olduğunu, Uber verilerini kilitlediğini ve soruşturmalarına yardımcı olmaya devam edeceğini söyledi.
Bu, Uber’in ilk veri ihlali değil. 2016 yılında, bilgisayar korsanları 57 milyon sürücü ve sürücü hesabından veri çalmıştı. Ardından Uber’e başvuran korsanlar verileri silmek için 100.000 dolar talep etmişti. Uber, bilgisayar korsanlarına ödeme yaptı ancak ihlal haberlerini bir yıldan fazla bir süre sessiz tuttu.
