У Uber стався витік даних: хакери виклали інформацію в мережу

Uber зіткнувся з новим витоком даних після того, як зловмисник вибіг адреси електронної пошти співробітників, корпоративні звіти та інформацію про ІТ-активи, вкрадену у стороннього постачальника внаслідок інциденту кібербезпеки. Про це Інформатору стало відомо з американського видання BleepingComputer.

Вранці в суботу, 10 грудня, зловмисник на ім'я UberLeaks почав витік даних, які, як вони стверджували, були вкрадені у Uber і Uber Eats, на хакерському форумі, відомому публікаціями про витоки даних, пише BleepingComputer. У мережу виклали численні архіви, які немов би є вихідним кодом, пов'язаним з платформами управління мобільними пристроями (MDM), використовуваними Uber і Uber Eats, а також послугами сторонніх постачальників. Зловмисник створив чотири окремі теми, ймовірно для Uber MDM на uberhub.uberinternal.com та Uber Eats MDM, а також для сторонніх платформ Teqtivity MDM та TripActions MDM.

Пости викладались від імені хакерської групи Lapsus$, яка, як вважається, несе відповідальність за численні гучні атаки, включаючи вересневу кібератаку на Uber, коли зловмисники отримали доступ до внутрішньої мережі та сервера Slack компанії. Один із документів, переглянутих BleepingComputer, включає адреси електронної пошти та інформацію Windows Active Directory для більш ніж 77 000 співробітників Uber.

У той час як BleepingComputer спочатку думав, що ці дані були вкрадені під час вересневої атаки, Uber повідомив BleepingComputer, що вважає, що це пов'язано з порушенням безпеки стороннього постачальника.

“Ми вважаємо, що ці файли пов'язані з інцидентом у стороннього постачальника і не пов'язані з нашим інцидентом безпеки у вересні. Ґрунтуючись на нашому початковому огляді доступної інформації, код не належить Uber; однак ми продовжуємо вивчати це питання”. - відповіли виданню в Uber.

Дослідники безпеки, які проаналізували витік, повідомили BleepingComputer, що витік даних пов'язаний із внутрішньою корпоративною інформацією Uber і не включає жодного з її клієнтів. Однак дані, що просочилися, містять досить докладної інформації для проведення цільових фішингових атак на співробітників Uber з метою отримання більш конфіденційної інформації, такої як облікові дані для входу. Тому всі співробітники Uber повинні стежити за фішинговими електронними листами, що видають себе за ІТ-підтримку Uber, та підтверджувати всю інформацію безпосередньо у ІТ-адміністраторів, перш ніж відповідати на такі електронні листи.

Дані Uber були вкрадені через злом Teqtivity

Після публікації цієї історії Uber повідомив, що зловмисники вкрали його дані внаслідок нещодавнього злому Teqtivity, який він використовує для управління активами та послугами відстеження. Uber послався на повідомлення про виток даних Teqtivity, опубліковане 12 грудня, в якому пояснюється, що зловмисник отримав доступ до сервера резервного копіювання Teqtivity AWS, на якому зберігаються дані для його клієнтів. Це дозволило зловмиснику отримати доступ до наступної інформації для компаній, які використовують їхню платформу:

• Інформація про пристрій: серійний номер, марка, моделі, технічні характеристики
• Інформація користувача: ім'я, прізвище, робоча адреса електронної пошти, відомості про робоче місце.

Uber повідомив BleepingComputer, що вихідний код, що просочився на форум хакерів, був створений Teqtivity для управління послугами Uber, що пояснює численні посилання на компанію з спільного використання поїздок. Uber також підтвердив, що група Lapsus$ не має відношення до цього злому, хоча повідомлення на форумі посилаються на одного з учасників загрози, пов'язаних із групою. Хоча у повідомленнях на форумі йдеться, що вони зламали uberinternal.com, Uber заявив, що не бачив зловмисного доступу до своїх систем.

"Третя сторона все ще проводить розслідування, але підтвердила, що дані, які ми бачили на сьогоднішній день, надійшли з її систем, і на сьогоднішній день ми не бачили жодного зловмисного доступу до внутрішніх систем Uber", - сказав Uber BleepingComputer.

Відповідь TripActions 

TripActions повідомила BleepingComputer, що вони розслідували інцидент, і під час атаки на Teqtivity не було розкрито корпоративних чи клієнтських даних.

«12 грудня 2022 року TripActions дізналася про інцидент з безпекою, пов'язаний з Teqtivity, стороннім постачальником. Після розслідування, проведеного як TripActions, так і Teqtivity, було встановлено, що жодних даних TripActions не було розкрито в рамках цього інциденту безпеки, а клієнти TripActions не постраждали в рамках цього інциденту безпеки. TripActions не підтримує MDM. Ми продовжимо стежити за ситуацією", - йдеться у заяві TripActions.

Як раніше повідомляв Інформатор, американський сервіс таксі Uber подав позов на Комісію з таксі та лімузинів Нью-Йорка (TLC). Комісія проголосувала за підвищення ставок оплати праці водіїв Uber та аналогічного ресурсу Lyft, щоб компенсувати зростання інфляції та експлуатаційних витрат.