Invasão na Uber foi feita por um membro do grupo Lapsus$

Após uma investigação, foi descoberto que a invasão na Uber foi feita por um membro do grupo Lapsus$, através de um contratado do Uber EXT.

A Uber acredita que o hacker por trás da violação da semana passada é afiliado ao grupo de extorsão Lapsus$, conhecido por violar outras empresas de tecnologia de alto nível, como Microsoft, Cisco, NVIDIA, Samsung e Okta.

Invasão na Uber foi feita por um membro do grupo Lapsus$

Invasão na Uber foi feita por um membro do grupo Lapsus$
Invasão na Uber foi feita por um membro do grupo Lapsus$

A empresa acrescentou que o invasor usou as credenciais roubadas de um contratado do Uber EXT em um ataque de fadiga MFA, no qual o contratado foi inundado com solicitações de login de autenticação de dois fatores (2FA) até que um deles fosse aceito.

Essa tática de engenharia social se tornou muito popular e tem sido usada em ataques recentes direcionados a empresas conhecidas em todo o mundo, incluindo Twitter, Robinhood, MailChimp e Okta.

“A partir daí, o invasor acessou várias outras contas de funcionários que, em última análise, deram ao invasor permissões elevadas para várias ferramentas, incluindo G-Suite e Slack.”, explicou Uber em uma atualização da declaração original.

“O invasor postou uma mensagem em um canal Slack de toda a empresa, que muitos de vocês viram, e reconfigurou o OpenDNS da Uber para exibir uma imagem gráfica para os funcionários em alguns sites internos.”

A empresa acrescentou que não encontrou evidências de que o agente da ameaça não pudesse acessar sistemas de produção que armazenam informações confidenciais do usuário, incluindo dados pessoais e financeiros (por exemplo, números de cartão de crédito, informações da conta bancária do usuário, dados pessoais de saúde ou histórico de viagens).

A Uber diz que tomou algumas medidas para evitar futuras violações usando essas táticas, incluindo:

  • Identificamos todas as contas de funcionários que foram comprometidas ou potencialmente comprometidas e bloqueamos seu acesso aos sistemas Uber ou solicitamos uma redefinição de senha.
  • Desativamos muitas ferramentas internas afetadas ou potencialmente afetadas.
  • Fizemos um rodízio de chaves (redefinindo efetivamente o acesso) para muitos de nossos serviços internos.
  • Bloqueamos nossa base de código, impedindo novas alterações de código.
  • Ao restaurar o acesso a ferramentas internas, exigimos que os funcionários se autenticassem novamente. Também estamos fortalecendo ainda mais nossas políticas de autenticação multifator (MFA).
  • Adicionamos monitoramento adicional de nosso ambiente interno para ficar ainda mais atento a qualquer atividade suspeita.

“Durante todo o processo, conseguimos manter todos os nossos serviços públicos Uber, Uber Eats e Uber Freight operacionais e funcionando sem problemas. Como desativamos algumas ferramentas internas, as operações de suporte ao cliente foram minimamente impactadas e agora voltaram ao normal.”

A Uber acrescentou que ainda não descobriu provas de que o invasor tenha acessado e injetado qualquer código malicioso em sua base de código.

“Em primeiro lugar, não vimos que o invasor acessou os sistemas de produção (ou seja, voltados para o público) que alimentam nossos aplicativos; quaisquer contas de usuário; ou os bancos de dados que usamos para armazenar informações confidenciais do usuário, como números de cartão de crédito, banco do usuário informações da conta ou histórico de viagens. Também criptografamos informações de cartão de crédito e dados pessoais de saúde, oferecendo uma camada adicional de proteção.”

“Revisamos nossa base de código e não descobrimos que o invasor fez nenhuma alteração. Também não descobrimos que o invasor acessou qualquer cliente ou dados de usuário armazenados por nossos provedores de nuvem (por exemplo, AWS S3).”

Infelizmente, a invasão resultou no acesso a algumas informações confidenciais, incluindo algumas das faturas da Uber de uma ferramenta interna usada pela equipe financeira da empresa e relatórios de vulnerabilidade do HackerOne.

“No entanto, qualquer relatório de bug que o invasor conseguiu acessar foi corrigido”, disse a empresa. Desde então, o HackerOne desativou o programa de recompensas de bugs do Uber, cortando assim o acesso às vulnerabilidades divulgadas do Uber.

O site BleepingComputer também foi informado por uma fonte de que o agente da ameaça conseguiu exfiltrar todos os relatórios de vulnerabilidade antes de perder o acesso ao programa de recompensas de bugs da Uber, incluindo relatórios que aguardavam uma correção, apresentando um grave risco de segurança para a empresa.

Não seria surpreendente se o agente da ameaça já tivesse colocado esses relatórios de vulnerabilidade à venda para lucrar e para outros agentes de ameaças usarem se não (totalmente) corrigidos em ataques futuros.

O mesmo invasor reivindicou a violação do estúdio de videogame Rockstar Games no fim de semana depois de vazar vídeos do jogo e capturas de tela do código-fonte de Grand Theft Auto V e Grand Theft Auto VI como prova.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.