Uber gehackt; onderzoekt momenteel reikwijdte van de inbreuk op z’n computersystemen
Gisteren, donderdag, konden Uber-medewerkers op hun interne Slack-systeem dit bericht lezen: “Ik kondig hierbij aan dat ik een hacker ben en dat Uber een datalek heeft opgelopen.” Meteen daarop haalde het bedrijf verschillende van zijn interne communicatie- en technische systemen offline terwijl het de omvang van de hack onderzocht. Het bericht vermeldde vervolgens verschillende interne databases waarvan de hacker beweerde dat ze waren gecompromitteerd. In het Slack-bericht dat de inbreuk aankondigde, zei de persoon ook dat Uber-chauffeurs een hoger loon zouden moeten krijgen. Onduidelijk is in hoeverre de hack gevolgen heeft voor gebruikers en chauffeurs.
De inbreuk leek veel van de interne systemen van Uber in gevaar te hebben gebracht, en de hacker die de verantwoordelijkheid voor de inbreuk opeiste, stuurde afbeeldingen van e-mail, cloudopslag en codeopslagplaatsen naar cyberbeveiligingsonderzoekers en The New York Times.
“Ze hebben vrijwel volledige toegang tot Uber”, zegt Sam Curry, een beveiligingsingenieur bij Yuga Labs die correspondeerde met degene die beweerde verantwoordelijk te zijn voor de inbreuk. “Dit is een totale inbreuk, zoals het er nu uitziet.” Een Uber-woordvoerder zei dat het bedrijf de hack onderzoekt en contact opnam met de politie.
Uber-medewerkers kregen de opdracht om de interne berichtenservice van het bedrijf, Slack, niet te gebruiken en ontdekten dat andere interne systemen ontoegankelijk waren, zeiden twee medewerkers off-the-record. De hacker heeft het Slack-account van een werknemer gebruikt om zijn bericht te verzenden, zei de Uber-woordvoerder. Het bleek dat de hacker later toegang kon krijgen tot andere interne systemen door een expliciete foto te plaatsen op een interne informatiepagina voor medewerkers.
De persoon die de verantwoordelijkheid voor de hack opeiste, vertelde The New York Times dat hij een sms had gestuurd naar een Uber-medewerker die beweerde een bedrijfsinformatie-technologiemedewerker te zijn. Die werknemer werd ertoe overgehaald om een wachtwoord te geven waarmee de hacker toegang kon krijgen tot de systemen van Uber, een techniek die bekend staat als social engineering.
“Dit soort social engineering-aanvallen om voet aan de grond te krijgen binnen technologiebedrijven is toegenomen”, zegt Rachel Tobac, chief executive van SocialProof Security. Tobac wees op de hack van Twitter in 2020, waarbij tieners social engineering gebruikten om in te breken in het bedrijf. Soortgelijke social engineering-technieken werden gebruikt bij recente inbreuken bij Microsoft.
“We zien dat aanvallers slim worden en documenteren ook wat werkt”, zei Tobac. “Ze hebben nu kits die het gemakkelijker maken om deze social engineering-methoden in te zetten en te gebruiken. Het is bijna een standaard geworden.”
De hacker, die screenshots van interne Uber-systemen aanleverde om zijn toegang te bewijzen, zei dat hij 18 jaar oud was en al enkele jaren aan zijn cyberbeveiligingsvaardigheden werkte. Hij zei dat hij had ingebroken in de systemen van Uber omdat het bedrijf een zwakke beveiliging had. In het Slack-bericht dat de inbreuk aankondigde, zei de persoon ook dat Uber-chauffeurs een hoger loon zouden moeten krijgen.
De hacker leek toegang te hebben tot de Uber-broncode, e-mail en andere interne systemen, zei beveiligingsingenieur Curry tegen de New York Times. “Zo te zien heeft ‘ie de tijd van z’n leven met deze hack.” In een interne e-mail vertelde een Uber-manager werknemers dat de hack wordt onderzocht. “We hebben op dit moment geen idee wanneer de volledige toegang tot onze tools zal worden hersteld, dus bedankt dat je met ons meedenkt”, schreef Latha Maripuri, Chief Information Security Officer van Uber.
Het is niet de eerste keer dat een hacker gegevens van Uber heeft gestolen. In 2016 stalen hackers informatie van 57 miljoen chauffeurs- en gebruikersaccounts en benaderden ze vervolgens Uber en eisten $ 100.000 om hun kopie van de gegevens te verwijderen. Uber regelde de betaling, maar hield de inbreuk meer dan een jaar geheim.
Joe Sullivan, destijds de hoogste beveiligingsmanager van Uber, werd ontslagen vanwege zijn rol in de reactie van het bedrijf op de hack. Sullivan werd beschuldigd van belemmering van de rechtsgang omdat hij de inbreuk niet aan de regelgevers bekend had gemaakt en staat momenteel terecht. Advocaten van Sullivan hebben betoogd dat andere werknemers verantwoordelijk waren voor de openbaarmaking en zeiden dat het bedrijf Sullivan tot zondebok had gemaakt.
- Uber gehackt; onderzoekt momenteel reikwijdte van de inbreuk op z’n computersystemen. Foto Uber.