Продолжается расследование
Uber столкнулся с новой утечкой данных после того, как злоумышленник выбежал адреса электронной почты сотрудников, корпоративные отчёты и информацию об IT-активах, украденную у стороннего поставщика в результате инцидента кибербезопасности. Об этом Информатору стало известно из американского издания BleepingComputer.
Утром в субботу, 10 декабря, злоумышленник по имени UberLeaks начал утечку данных, которые, как они утверждали, были украдены у Uber и Uber Eats, на хакерском форуме, известном публикациями об истоках данных, пишет BleepingComputer. В сеть выложили многочисленные архивы, являющиеся исходным кодом, связанным с платформами управления мобильными устройствами (MDM), используемыми Uber и Uber Eats, а также услугами сторонних поставщиков. Злоумышленник создал четыре отдельных темы, вероятно, для Uber MDM на uberhub.uberinternal.com и Uber Eats MDM, а также для сторонних платформ Teqtivity MDM и TripActions MDM.
Посты излагались от имени хакерской группы Lapsus$, которая, как считается, несёт ответственность за многочисленные громкие атаки, включая сентябрьскую кибератаку на Uber, когда злоумышленники получили доступ к внутренней сети и серверу Slack компании. Один из документов, просмотренных BleepingComputer, включает адреса электронной почты и информацию Windows Active Directory для более 77 000 сотрудников Uber.
В то время как BleepingComputer поначалу полагал, что эти данные были украдены во время сентябрьской атаки, Uber сообщил BleepingComputer, что считает, что это связано с нарушением безопасности стороннего поставщика.
«Мы считаем, что эти файлы связаны с инцидентом у стороннего поставщика и не связаны с нашим инцидентом безопасности в сентябре. Основываясь на нашем первоначальном обзоре доступной информации, код не принадлежит Uber; однако мы продолжаем изучать этот вопрос», – ответили изданию в Uber.
Исследователи безопасности, проанализировавшие утечку, сообщили BleepingComputer, что утечка данных связана с внутренней корпоративной информацией Uber и не включает ни одного из её клиентов. Однако просочившиеся данные содержат достаточно подробной информации для проведения целевых фишинговых атак на сотрудников Uber с целью получения более конфиденциальной информации, такой как учётные данные для входа. Поэтому все сотрудники Uber должны следить за фишинговыми электронными письмами, выдающими себя за ИТ-поддержку Uber, и подтверждать всю информацию непосредственно у ИТ-администраторов, прежде чем отвечать на такие электронные письма.
После публикации этой истории Uber сообщил, что злоумышленники украли его данные в результате недавнего взлома Teqtivity, который он использует для управления активами и услугами отслеживания. Uber сослался на сообщение об утечке данных Teqtivity, опубликованное 12 декабря, в котором объясняется, что злоумышленник получил доступ к серверу резервного копирования Teqtivity AWS, на котором хранятся данные для его клиентов. Это позволило злоумышленнику получить доступ к следующей информации для компаний, использующих их платформу:
Uber сообщил BleepingComputer, что исходящий код, проникший на хакерский форум, был создан Teqtivity для управления услугами Uber, что объясняет многочисленные ссылки на компанию по совместному использованию поездок. Uber также подтвердил, что группа Lapsus$ не имеет отношения к этому взлому, хотя сообщения на форуме ссылаются на одного из участников угрозы, связанных с группой. Хотя в сообщениях на форуме говорится, что они сломали uberinternal.com, Uber заявил, что не видел злонамеренного доступа к своим системам.
«Третья сторона всё ещё проводит расследование, но подтвердила, что данные, которые мы видели на сегодняшний день, поступили из её систем, и на сегодняшний день мы не видели никакого злонамеренного доступа к внутренним системам Uber», – сказал Uber BleepingComputer.
TripActions сообщил BleepingComputer, что они расследовали инцидент, и во время атаки на Teqtivity не были раскрыты корпоративные или клиентские данные.
«12 декабря 2022 года TripActions узнала об инциденте с безопасностью, связанном с Teqtivity, сторонним поставщиком. После расследования, проведенного как TripActions, так и Teqtivity, было установлено, что никакие данные TripActions не были раскрыты в рамках этого инцидента безопасности, а клиенты TripActions не пострадали в рамках этого инцидента безопасности. TripActions не поддерживает MDM. Мы продолжим следить за ситуацией», – говорится в заявлении TripActions.
Как ранее сообщал Информатор, американский сервис такси Uber подал иск на Комиссию по такси и лимузинам Нью-Йорка (TLC). Комиссия проголосовала за повышение ставок оплаты труда водителей Uber и аналогичного ресурса Lyft, чтобы компенсировать рост инфляции и эксплуатационных расходов.