Mediante un informe, ESET dio a conocer el ciberataque que habría sufrido Uber en el que denota un acceso completo al sistema crítico de TI; ataque que afectó de gran manera a la infraestructura y potencialmente a los datos personales de millones de usuarios de la compañía a nivel mundial.
ESET, mediante un informe dio a conocer que la compañía mundial de servicio de movilidad Uber, fue víctima de un acceso indebido a sus sistemas informáticos. El atacante envió capturas de pantallas de correos, servicios de almacenamiento en la nube y repositorios de código, a investigadores y a medios de prensa como el New York Times (NYT), quien dio a conocer la noticia y resaltando la facilidad de acceso al sistema de la compañía.
Además, indicó que el ciberdelincuente primero robó las credenciales de un empleado y que en el transcurso de varias horas envió notificaciones push para que acepte un intento de inicio de sesión. Si bien el empleado de Uber no validó estos inicios de sesión, el atacante contactó al colaborador por WhatsApp diciendo que era un trabajador del área de TI de Uber y que para detener las notificaciones push debía aceptar.
El investigador del hecho, Sam Curry logró comunicarse con el atacante e intercambiado mensajes, donde le envía capturas de pantalla que demuestran que logró acceder a una parte importante y crítica de la infraestructura tecnológica de Uber, como es el acceso a cuentas de administrador, a los servidores de Amazon Web Service, el panel de HackerOne con el reporte de las vulnerabilidades, el canal de Slack, acceso a cuentas de administrador de vSphere y de Google Suite. Al parecer dijo Curry, se trata de un compromiso total de los sistemas de la compañía.
Uber como medida de precaución, solicitó a los empleados de la compañía, no utilizar la plataforma de comunicación Slack, la cual fue puesta fuera de servicio.
Al parecer, había una red compartida que contenía scripts de powershell y uno de estos scripts contenía las credenciales de acceso para un usuario con permisos de administrador de una solución llamada PAM de thycotic que es utilizada para la gestión de accesos privilegiados, desde donde habrían ingresado al resto de los servicios.
Uber publicó información respecto al incidente en su pagina de Twitter, puntualizando lo siguiente:
Hasta el momento no hay evidencia de que los actores maliciosos hayan accedido a información sensible de usuarios y usuarias, como el historial de viajes.
Todos los servicios a través de las apps, como Uber o Uber Eats, están operativos.
La compañía reportó el incidente a las autoridades.
Volvieron a estar operativas en la mañana del viernes herramientas de uso interno que fueron interrumpidas el día jueves por precaución.
Este no es el primer caso en el que atacantes logran acceder a la red de una compañía tras engañar a un empleado con ingeniería social. Dado que ESET ya habría informado sobre análisis de casos cimilares, como el caso de Twitter, el ataque de ransomware a EA Sports y recientemente en el ataque al sidechain Ronin.
