Uber padł ofiarą ataku 18-letniego hakera. W banalny sposób uzyskał niemal pełny dostęp do wewnętrznej sieci firmy

Jak donosi The New York Times, 18-letni haker uzyskał niemal pełny dostęp do wewnętrznej sieci firmy Uber. Miał on wykorzystać powszechną technikę inżynierii społecznej, a innymi słowy - przekonał jednego z pracowników Ubera, że sam pracuje dla korporacyjnego działu IT firmy, przez co udało mu się otrzymać login i hasło dający dostęp do systemu. Uważa się, że owo naruszenie przyjęło skalę przynajmniej tak dużą, jak w 2016 roku, kiedy wyciekły dane 57 milionów klientów Ubera.

Haker, który włamał się do systemów Ubera, najpierw wyłudził dane logowania od jednego z pracowników, po czym odnalazł skrypt z zahardcodowanymi danymi dostępowymi do całej infrastruktury sieci.

Jako dowód udanego ataku, haker dostarczył redaktorom New York Timesa zrzuty ekranu wewnętrznych systemów Ubera. Przyznał wówczas, że ma zaledwie 18 lat, ale od dłuższego już czasu rozwija swoje umiejętności w zakresie cyberbezpieczeństwa. Co zaś sprawiło, że wziął sobie na cel właśnie Ubera? Otóż chciał skompromitować markę ze względu na "jej słabe zabezpieczenia". Co ciekawe, już po uzyskaniu dostępu do poszczególnych baz, wysłał także wiadomość na firmowym, uberowym Slacku, w której napisał "Ogłaszam, że jestem hakerem, a Uber doznał naruszenia danych". Choć pracownicy Ubera mieli w międzyczasie otrzymać maile ostrzegające przed logowaniem się na Slacka, to wielu z nich dało się ponieść i dalej prowadziło różnego rodzaju rozmowy tekstowe z hakerem.

W oficjalnym oświadczeniu Uber napisał z kolei co następuje: "Obecnie reagujemy na incydent związany z naruszeniem bezpieczeństwa cybernetycznego. Jesteśmy w kontakcie z organami ścigania, a gdy tylko pojawią się jakieś informacje, bezzwłocznie je opublikujemy". Póki co haker nie wspomniał nigdzie o tym, że wszedł w posiadanie także danych osobowych klientów Ubera, choć jest to bardzo możliwe. Sam Curry, inżynier bezpieczeństwa w Yuga Labs, który miał korespondować z hakerem stwierdził, że włamywacz ma na pewno pełny dostęp administracyjny do usług Amazon Web Services i Google Cloud firmy Uber. Dodał też, że z dużym prawdopodobieństwem młody haker zachłysnął się po prostu swoim występkiem, ale nie ma pojęcia, jaki powinien  być jego następny krok.