ESET LatinoamĆ©rica, compaƱĆa lĆder en detecciĆ³n proactiva de amenazas, analizĆ³ el ataque con el que accedieron a una parte importante de los sistemas de Uber y la compaƱĆa debiĆ³ interrumpir parte de su infraestructura mientras investiga lo que ocurriĆ³. Una persona de 18 aƱos asegura ser la responsable.
Ciudad de MĆ©xico – ESET, compaƱĆa lĆder en detecciĆ³n proactiva de amenazas, alerta que Uber confirmĆ³ que sufriĆ³ un incidente de seguridad y estĆ” investigando lo sucedido. Al parecer, la compaƱĆa fue vĆctima del acceso indebido a varios de sus sistemas y el atacante enviĆ³ a investigadores y a medios como el New York Times (NYT), que dio a conocer la noticia, capturas de pantalla de correos, servicios de almacenamiento en la nube y repositorios de cĆ³digo para demostrar que habĆa logrado acceder a los sistemas.
SegĆŗn afirmĆ³ el atacante al medio, para acceder a los sistemas de Uber primero engaƱaron a travĆ©s de ingenierĆa social a un empleado, lograron acceso a su VPN y luego escanearon la Intranet.
El investigador Sam Curry habrĆa intercambiado mensajes con quien asegura ser el responsable del ataque. Ćste le enviĆ³ capturas para demostrar que habrĆa logrado acceso completo a una parte importante y crĆtica de la infraestructura tecnolĆ³gica de Uber, como son: acceso a cuentas de administrador, a los servidores de Amazon Web Service, el panel de HackerOne con el reporte de las vulnerabilidades, el canal de Slack, acceso a cuentas de administrador de vSphere y de Google Suite. SegĆŗn Curry, parece que se trata de un compromiso total de sus sistemas:
Por otra parte, se solicitĆ³ a quienes trabajan en Uber no utilizar la plataforma de comunicaciĆ³n Slack, que luego fue puesta fuera de servicio.
Al parecer, habĆa una red compartida que contenĆa scripts de powershell y uno de estos scripts contenĆa las credenciales de acceso para un usuario con permisos de administrador de una soluciĆ³n llamada PAM de thycotic que es utilizada para la gestiĆ³n de accesos privilegiados. Y desde aquĆ habrĆan ingresado al resto de los servicios.
El dĆa viernes Uber publicĆ³ informaciĆ³n actualizada con respecto al incidente y puntualizĆ³ lo siguiente:
- Hasta el momento no hay evidencia de que los actores maliciosos hayan accedido a informaciĆ³n sensible de usuarios y usuarias, como el historial de viajes.
- Todos los servicios a travƩs de las apps, como Uber o Uber Eats, estƔn operativos.
- La compaƱĆa reportĆ³ el incidente a las autoridades.
- Volvieron a estar operativas en la maƱana del viernes herramientas de uso interno que fueron interrumpidas el dĆa jueves por precauciĆ³n.
SegĆŗn informĆ³ el periodista de NYT, Kevin Roose, una persona que asegura ser la responsable del ataque a Uber se comunicĆ³ con el medio y dijo que tiene 18 aƱos y que realizĆ³ el ataque porque la seguridad era dĆ©bil. Vice revelĆ³ que el atacante dijo que primero robĆ³ credenciales de un colaborador de Uber. Luego, le enviĆ³ al empleado en el transcurso de una hora varias notificaciones push para que acepte o rechace un intento de inicio de sesiĆ³n. Y si bien el empleado de Uber no validĆ³ estos inicios de sesiĆ³n, el atacante contactĆ³ al colaborador por WhatsApp diciendo que era un trabajador del Ć”rea de TI de Uber y que para detener las notificaciones push debĆa aceptar.
Este no es el primer caso en el que atacantes logran acceder a la red de una compaƱĆa tras engaƱar a un empleado con ingenierĆa social. Desde ESET ya analizaron los casos de Twitter, en el ataque de ransomware a EA Sports y recientemente en el ataque al sidechain Ronin.
Para conocer mƔs sobre seguridad informƔtica ingrese al portal de noticias de ESET: https://www.welivesecurity.
Por otro lado, ESET invita a conocer ConexiĆ³n Segura, su podcast para saber quĆ© estĆ” ocurriendo en el mundo de la seguridad informĆ”tica. Para escucharlo ingrese a:
0 Comentarios