ESET LatinoamĆ©rica, compaƱĆa lĆder en detección proactiva de amenazas, analizó el ataque con el que accedieron a una parte importante de los sistemas de Uber y la compaƱĆa debió interrumpir parte de su infraestructura mientras investiga lo que ocurrió. Una persona de 18 aƱos asegura ser la responsable.
Ciudad de MĆ©xico – ESET, compaƱĆa lĆder en detección proactiva de amenazas, alerta que Uber confirmó que sufrió un incidente de seguridad y estĆ” investigando lo sucedido. Al parecer, la compaƱĆa fue vĆctima del acceso indebido a varios de sus sistemas y el atacante envió a investigadores y a medios como el New York Times (NYT), que dio a conocer la noticia, capturas de pantalla de correos, servicios de almacenamiento en la nube y repositorios de código para demostrar que habĆa logrado acceder a los sistemas.
SegĆŗn afirmó el atacante al medio, para acceder a los sistemas de Uber primero engaƱaron a travĆ©s de ingenierĆa social a un empleado, lograron acceso a su VPN y luego escanearon la Intranet.
El investigador Sam Curry habrĆa intercambiado mensajes con quien asegura ser el responsable del ataque. Ćste le envió capturas para demostrar que habrĆa logrado acceso completo a una parte importante y crĆtica de la infraestructura tecnológica de Uber, como son: acceso a cuentas de administrador, a los servidores de Amazon Web Service, el panel de HackerOne con el reporte de las vulnerabilidades, el canal de Slack, acceso a cuentas de administrador de vSphere y de Google Suite. SegĆŗn Curry, parece que se trata de un compromiso total de sus sistemas:
Por otra parte, se solicitó a quienes trabajan en Uber no utilizar la plataforma de comunicación Slack, que luego fue puesta fuera de servicio.
Al parecer, habĆa una red compartida que contenĆa scripts de powershell y uno de estos scripts contenĆa las credenciales de acceso para un usuario con permisos de administrador de una solución llamada PAM de thycotic que es utilizada para la gestión de accesos privilegiados. Y desde aquĆ habrĆan ingresado al resto de los servicios.
El dĆa viernes Uber publicó información actualizada con respecto al incidente y puntualizó lo siguiente:
- Hasta el momento no hay evidencia de que los actores maliciosos hayan accedido a información sensible de usuarios y usuarias, como el historial de viajes.
- Todos los servicios a travƩs de las apps, como Uber o Uber Eats, estƔn operativos.
- La compaƱĆa reportó el incidente a las autoridades.
- Volvieron a estar operativas en la maƱana del viernes herramientas de uso interno que fueron interrumpidas el dĆa jueves por precaución.
SegĆŗn informó el periodista de NYT, Kevin Roose, una persona que asegura ser la responsable del ataque a Uber se comunicó con el medio y dijo que tiene 18 aƱos y que realizó el ataque porque la seguridad era dĆ©bil. Vice reveló que el atacante dijo que primero robó credenciales de un colaborador de Uber. Luego, le envió al empleado en el transcurso de una hora varias notificaciones push para que acepte o rechace un intento de inicio de sesión. Y si bien el empleado de Uber no validó estos inicios de sesión, el atacante contactó al colaborador por WhatsApp diciendo que era un trabajador del Ć”rea de TI de Uber y que para detener las notificaciones push debĆa aceptar.
Este no es el primer caso en el que atacantes logran acceder a la red de una compaƱĆa tras engaƱar a un empleado con ingenierĆa social. Desde ESET ya analizaron los casos de Twitter, en el ataque de ransomware a EA Sports y recientemente en el ataque al sidechain Ronin.
Para conocer mƔs sobre seguridad informƔtica ingrese al portal de noticias de ESET: https://www.welivesecurity.
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué estÔ ocurriendo en el mundo de la seguridad informÔtica. Para escucharlo ingrese a:
0 Comentarios