Uber ha scoperto un’intrusione giovedì 15 settembre, in seguito alla quale sono stati messi offline alcuni sistemi interni, tra cui Slack, Amazon Web Services e Google Cloud Platform. Tutti i servizi forniti funzionano regolarmente. L’azienda californiana ha comunicato ieri sera che i sistemi sono stati riattivati e che non ci sono prove di accesso ai dati sensibili degli utenti.
Intrusione favorita da un dipendente
L’autore dell’intrusione ha ottenuto le credenziali di accesso tramite un attacco di ingegneria sociale. Il cybercriminale ha svelato ad un ricercatore di sicurezza che, dopo aver ottenuto la password tramite phishing, ha chiesto ripetutamente ad un dipendente di accettare le richieste di verifica dell’account protetto con l’autenticazione in due fattori, spacciandosi per il supporto IT di Uber.
Il dipendente ha aggiunto il dispositivo del cybercriminale tra quelli verificati, consentendo l’accesso alla rete interna tramite VPN. Dopo aver effettuato la scansione della rete ha trovato uno script PowerShell contenente le credenziali di amministrazione della piattaforma PAM (Privileged Access Management) Thycotic. Ciò ha permesso quindi di accedere al server Slack e a tutti gli altri servizi interni, tra cui Amazon Web Services e Google Cloud Platform.
Secondo il New York Times, l’autore dell’intrusione ha avuto accesso anche ai database e al codice sorgente di Uber. Un altro ricercatore di sicurezza afferma che il cybercriminale ha avuto accesso anche all’account del programma bug bounty sulla piattaforma HackerOne e scaricato tutte le vulnerabilità segnalate, ma non ancora risolte. Queste informazioni potrebbero essere sfruttate direttamente o vendute nel dark web.