No Comments

Uber bringt Verletzung mit der Lapsus$-Gruppe in Verbindung und macht Auftragnehmer für Hack verantwortlich

 

Uber glaubt, dass der Hacker hinter der Verletzung der letzten Woche mit der Erpressungsgruppe Lapsus$-Gruppe verbunden ist, die dafür bekannt ist, andere hochkarätige Technologieunternehmen wie Microsoft, Cisco, NVIDIA, Samsung und Okta zu verletzen.

Das Unternehmen fügte hinzu, dass der Angreifer die gestohlenen Zugangsdaten eines Uber EXT-Auftragnehmers in einem MFA-Müdigkeitsangriff verwendet habe, bei dem der Auftragnehmer mit Zwei-Faktor-Authentifizierung (2FA)-Anmeldeanfragen überschwemmt wurde, bis eine von ihnen akzeptiert wurde.

Diese Social-Engineering-Taktik ist sehr beliebt geworden und wurde kürzlich bei Angriffen auf bekannte Unternehmen weltweit eingesetzt, darunter Twitter, Robinhood, MailChimp und Okta.

„Von dort aus hat der Angreifer auf mehrere andere Mitarbeiterkonten zugegriffen, die dem Angreifer letztendlich erweiterte Berechtigungen für eine Reihe von Tools, darunter G-Suite und Slack, verliehen haben“, erklärte Uber in einer Aktualisierung der ursprünglichen Erklärung.

„Der Angreifer hat dann eine Nachricht an einen unternehmensweiten Slack-Kanal gepostet, den viele von Ihnen gesehen haben, und Ubers OpenDNS neu konfiguriert, um Mitarbeitern auf einigen internen Websites ein grafisches Bild anzuzeigen.“

Das Unternehmen fügte hinzu, es habe keine Beweise dafür gefunden, dass der Angreifer nicht auf Produktionssysteme zugreifen konnte, die sensible Benutzerinformationen speichern, einschließlich persönlicher und finanzieller Daten (z. B. Kreditkartennummern, Bankkontoinformationen des Benutzers, persönliche Gesundheitsdaten oder Reisehistorie).

Uber sagt, es habe einige Maßnahmen ergriffen, um zukünftige Verstöße mit solchen Taktiken zu verhindern, darunter:

  • Wir haben alle Mitarbeiterkonten identifiziert, die kompromittiert oder potenziell kompromittiert waren, und entweder ihren Zugang zu Uber-Systemen blockiert oder ein Zurücksetzen des Passworts erforderlich gemacht.
  • Wir haben viele betroffene oder potenziell betroffene interne Tools deaktiviert.
  • Wir haben Schlüssel für viele unserer internen Dienste rotiert (was den Zugriff effektiv zurücksetzt).
  • Wir haben unsere Codebasis gesperrt, um neue Codeänderungen zu verhindern.
  • Bei der Wiederherstellung des Zugriffs auf interne Tools mussten sich die Mitarbeiter erneut authentifizieren. Außerdem stärken wir unsere Richtlinien für die Multi-Faktor-Authentifizierung (MFA).
  • Wir haben eine zusätzliche Überwachung unserer internen Umgebung hinzugefügt, um weitere verdächtige Aktivitäten noch genauer im Auge zu behalten.

Während der gesamten Zeit konnten wir alle unsere öffentlich zugänglichen Uber-, Uber Eats- und Uber Freight-Dienste betriebsbereit und reibungslos betreiben. Da wir einige interne Tools heruntergefahren haben, war der Kundendienstbetrieb nur minimal beeinträchtigt und läuft jetzt wieder normal. — Uber

Zugriff auf Schwachstellenberichte bestätigt

Uber fügte hinzu, dass es noch Beweise dafür finden muss, dass der Angreifer auf bösartigen Code in seiner Codebasis zugegriffen und ihn injiziert hat.

„In erster Linie haben wir nicht gesehen, dass der Angreifer auf die Produktionssysteme (d. h. öffentlich zugängliche) Systeme zugegriffen hat, auf denen unsere Apps laufen, auf Benutzerkonten oder auf die Datenbanken, die wir verwenden, um vertrauliche Benutzerinformationen wie Kreditkartennummern oder Benutzerbanken zu speichern Kontoinformationen oder Reiseverlauf. Wir verschlüsseln auch Kreditkarteninformationen und persönliche Gesundheitsdaten und bieten so eine weitere Schutzebene”, sagte Uber.

„Wir haben unsere Codebasis überprüft und keine Änderungen durch den Angreifer festgestellt. Wir haben auch nicht festgestellt, dass der Angreifer auf Kunden- oder Benutzerdaten zugegriffen hat, die bei unseren Cloud-Anbietern (z. B. AWS S3) gespeichert sind.“

Leider führte das Eindringen dazu, dass auf einige vertrauliche Informationen zugegriffen wurde, darunter einige von Ubers Rechnungen aus einem internen Tool, das vom Finanzteam des Unternehmens verwendet wird, und HackerOne-Schwachstellenberichte (wie BleepingComputer am Freitag berichtete).

„Alle Fehlerberichte, auf die der Angreifer zugreifen konnte, wurden jedoch behoben“, sagte das Unternehmen. Inzwischen hat HackerOne das Uber-Bug-Bounty-Programm deaktiviert und damit den Zugriff auf die offengelegten Uber-Schwachstellen unterbunden.

BleepingComputer wurde außerdem von einer Quelle mitgeteilt, dass der Angreifer in der Lage war, alle Schwachstellenberichte zu exfiltrieren, bevor er den Zugriff auf Ubers Bug-Bounty-Programm verlor, einschließlich Berichten, die auf eine Behebung warteten, was ein ernstes Sicherheitsrisiko für das Unternehmen darstellte.

Es wäre nicht verwunderlich, wenn der Bedrohungsakteur diese Schwachstellenberichte bereits zum Verkauf angeboten hätte, um Geld zu verdienen und damit andere Bedrohungsakteure sie verwenden können, wenn sie bei zukünftigen Angriffen nicht (vollständig) gepatcht werden.

Der Angreifer (bekannt als „teapots2022“) behauptete auch, das Videospielstudio Rockstar Games (unter dem Spitznamen „teapotuberhacker“) am Wochenende verletzt zu haben, nachdem er In-Game-Videos und Screenshots des Quellcodes sowohl von Grand Theft Auto V als auch von Grand Theft veröffentlicht hatte Auto VI als Beweis.

 

Source: BleepingComputer,

Das könnte dir auch gefallen

More Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Please enter a valid email address.