Uber, empresa de servicio privado de transporte, sufrió un ataque cibernético la semana pasada, el cual puso en riesgo varios de sus medios de información al obtener el hacker acceso a sus sistemas.
Fue el pasado 15 de septiembre cuando se dio a conocer el ataque, después de que el responsable comenzara a comunicarse con diversos medios de comunicación, periodistas y en algunos foros en donde detallaba todos los sistemas a los que tuvo acceso.
La empresa no notificó la ruptura en su seguridad hasta un día después el 16 de septiembre, en donde aceptó que todos sus servicios, incluidos Uber Eats, Uber Freight y Uber Driver se vieron comprometidos.
¿Cómo ocurrió el ciberataque a Uber?
El especialista en seguridad y hacker Sam Curry fue el primero en notificar que Uber había sufrido un ciberataque después de darse un acceso indebido en varios de los sistemas de la empresa.
En comunicación con el diario New York Times, el responsable del hackeo comprobó que él lo había realizado y se trataba de un hacker de apenas 18 años, quien realizó la acción al darse cuenta que la seguridad del portal era débil.
Para ejecutar el ataque se comunicó con un empleado de Uber a quien le robó sus credenciales por medio de notificaciones de push donde le pedía iniciar sesión. Aunque al principio no había hecho caso a estas alertas, el hacker fingió ser un empleado de sistemas de la empresa y le pidió que iniciara sesión para detener estas notificaciones.
Posteriormente obtuvo acceso a su VPN y logró escanear la Intranet. Una vez dentro de la infraestructura tecnológica de Uber, el joven mostró pruebas de cómo logró el acceso a las cuentas de administrador, a los servicios de Amazon Web Service de la empresa, al panel de HackerOne con el reporte de vulnerabilidades.
Además, logró acceder a las cuentas de administrador de vSphere, de Google Suite y el canal de Slack, de forma que comprometió todos sus sistemas. Al darse cuenta de la intervención, la empresa tuvo que poner fuera de servicio la plataforma de comunicación Slack al contar con una cuenta que habría dado acceso a todos los servicios restantes.
En un primer reporte realizado el 16 de septiembre, Uber explicó que no existía evidencia de que el hacker haya obtenido información sensible de los usuarios o historial de sus viajes. También, que sus herramientas operativas internas como todas sus aplicaciones ya se encontraban operativas y que reportaron el incidente a las autoridades.
Uber da un reporte más detallado
Para este 19 de septiembre Uber dio un reporte más detallado del ciberataque ocurrido en donde explicó que la investigación sobre lo ocurrido se mantenía en curso.
En cuanto a los detalles del ataque se comprometió la cuenta de un contratista de Uber EXT y que el hacker probablemente compró una contraseña corporativa de la empresa por medio de la dark web y al tener el registro del empleado al aceptar un inicio de sesión logró ingresar.
Una vez ahí el hacker logró acceder a una mayor cantidad de cuentas de empleados y obtener permisos elevados para herramientas como G-Suite y Slack. En Slack logró publicar un mensaje a toda la empresa y reconfiguró el OpenDNS para mostrar una imagen gráfica a los empleados en sitios internos.
Al darse cuenta del ataque Uber indicó que tomó acciones como identificar las cuentas comprometidas y bloquearlas de sus sistemas. Deshabilitó muchas de sus herramientas internas afectadas. Restableció diversos accesos a muchos de sus servicios.
Bloqueó la base de código para evitar que cualquiera nuevo fuera agregado o cambiado. Pidió a todos los empleados volverse a autenticar y reforzó sus políticas de autenticación multifactor y agregó monitoreo adicional a su entorno interno.
Uber recalcó que hasta ahora no hay evidencia de que el atacante haya tenido acceso a información de usuario, historial o sus cuentas de crédito o formas de pago. También, no se encontraron cambios en su código y todos sus servicios se mantuvieron operativos y en funcionamiento.
Respecto al atacante, Uber señaló a un grupo de hackers de nombre Lapsus$ que han estado más activos en el último año al ya violar la seguridad de empresas como Microsoft, Cisco, Samsung, Nvidia e incluso estar detrás de las recientes filtraciones de la empresa de videojuegos Rockstar Games.