Um jovem de 18 anos admitiu ter sido responsável por invadir o sistema da Uber, trazendo consequências negativas para a empresa de transporte.
Na noite de quinta-feira, a Uber divulgou que foi vítima de um “incidente de cibersegurança” e estava colaborando com as autoridades. Um artigo no New York Times descreveu o “incidente” como uma violação de dados que afetou os sistemas internos da Uber. Com informações adicionais reveladas por funcionários da empresa, temos agora mais clareza sobre o ocorrido.
Então, como foi o desenrolar da situação? Um jovem de 18 anos utilizou métodos simples de manipulação psicológica ao mirar em um funcionário da Uber. Segundo o hacker, em entrevista ao New York Times, ele se fez passar por um técnico de TI da empresa em uma mensagem de texto e conseguiu persuadir o funcionário a enviar uma senha, o que lhe concedeu acesso.
“Este caso exemplifica mais uma instância de ataques sucessivos que revelam que a engenharia social é o método principal pelo qual as empresas são alvo de violações, e os atacantes sabem que é eficaz”, afirmou Josh Yavor, que atua como diretor de segurança da informação na empresa de segurança em nuvem Tessian, em um comunicado ao Mashable. “Observamos de forma contínua as mesmas estratégias sendo empregadas, independentemente do atacante ou da vítima: eles têm consciência de que as pessoas podem ser ludibriadas a fornecer suas senhas.”
Além da simplicidade do hack, há outro aspecto surpreendente dessa vulnerabilidade: A Uber não tinha conhecimento de que estava sendo hackeada até que o hacker adolescente se revelou no canal Slack da empresa.
“Olá @aqui”, foi assim que o hacker iniciou sua mensagem, revelando ser um invasor e informando que houve uma violação de dados na Uber.
O hacker começou a acessar alguns dos sistemas internos da empresa que foram invadidos, como o Slack, e finalizou sua comunicação solicitando um pagamento à Uber para seus motoristas.
No começo, os funcionários da Uber acharam que tudo era uma brincadeira.
Sam Curry, membro da equipe de engenharia da Yuga Labs, a empresa responsável pelo projeto Bored Ape Yacht Club NFT, divulgou detalhes extras sobre o ataque que alega ter recebido de alguém ligado à Uber.
Segundo informações da Curry, várias contas importantes da empresa, como o administrador de domínio da Uber, o administrador do Amazon Web Services e o GSuite, foram hackeadas. Capturas de tela, supostamente feitas pelo hacker, logo se tornaram públicas, mostrando seu acesso a esses serviços.
Em determinado momento em que peço para acessar um site, sou direcionado para uma página censurada com uma imagem inadequada e a frase “Vão se lascar, idiotas”, relatou a fonte Uber de Curry.
- Uber oferece aos usuários a possibilidade de contatar a ADT em caso de questões relacionadas à segurança.
- Uber relaxa exigências de uso de máscara em algumas cidades, como Nova York e Washington D.C.
- Uber pela primeira vez divulga a avaliação dos condutores de motocicletas.
- A plataforma Uber expôs dados de 57 milhões de indivíduos e posteriormente tentou ocultar o incidente.
A Uber instruiu prontamente seus colaboradores a não acessarem a plataforma Slack, no entanto, conforme relatado por um contato da Curry, muitos funcionários da empresa continuaram entrando para conferir as respostas das piadas.
No seu relatório sobre a invasão, The Verge mencionou um post no Twitter do especialista em segurança Corben Leo que explicava de maneira técnica como o hacker conseguiu acessar diversos sistemas internos. Resumidamente, após o funcionário enviar sua senha para o adolescente, o hacker jovem conseguiu acessar a VPN da empresa, explorar a intranet e localizar scripts Powershell com informações de login para diversos serviços.
“A inserção de informações privadas nas VPNs deve ser desafiadora e protegida por medidas de segurança robustas”, afirmou Jack Moore, consultor de segurança cibernética da ESET, em um comunicado fornecido ao Mashable. “O fato de que o Uber tenha sido hackeado através de um simples SMS levanta dúvidas sobre a extensão da violação de dados por meio de um método tão simples.”
Moore enfatizou que o ataque reforça a necessidade da equipe de treinamento manter-se vigilante e capaz de identificar tentativas específicas de phishing, além de verificar cuidadosamente antes de fornecer quaisquer credenciais.
A Uber já foi alvo de ataques hackers anteriormente. Em 2016, um jovem de 20 anos causou uma violação de segurança que impactou 57 milhões de clientes da Uber em escala global. No entanto, a empresa afirmou que, desta vez, os dados confidenciais dos usuários não foram comprometidos.
Tópicos de discussão incluem segurança digital e a empresa Uber.
