A Uber descobriu ontem (15) que sua rede de computadores foi violada, levando a empresa a tirar do ar vários de seus sistemas internos de comunicação e engenharia enquanto investigava a extensão do hack.
A violação parece ter comprometido muitos dos sistemas internos da empresa, e uma pessoa que assumiu a responsabilidade pelo hack enviou imagens de e-mail, armazenamento em nuvem e repositórios de códigos para pesquisadores de segurança cibernética e para o The New York Times.
“Eles têm acesso praticamente total ao Uber”, disse Sam Curry, engenheiro de segurança do Yuga Labs que se correspondeu com a pessoa que alegou ser responsável pela violação. “Este é um comprometimento total, pelo que parece”.
Um porta-voz da Uber disse que a empresa está investigando a violação e entrando em contato com as autoridades policiais.
Os funcionários da Uber foram instruídos a não utilizar o serviço interno de mensagens da empresa, o Slack, e ainda ficaram sabendo que outros sistemas internos estavam inacessíveis, disseram dois funcionários, que não estavam autorizados a falar publicamente.
Pouco antes de o sistema Slack ser desativado na tarde de quinta-feira, os funcionários do Uber receberam uma mensagem que dizia: “Anuncio que sou um hacker e o Uber sofreu uma violação de dados”. A mensagem passou a listar vários bancos de dados internos que o hacker alegou terem sido comprometidos.
O hacker comprometeu a conta Slack de um colaborador e a usou para enviar a mensagem, disse o porta-voz do Uber. Parece que o hacker também conseguiu acesso a outros sistemas internos, postando uma foto explícita em uma página de informações internas para os funcionários.
A pessoa que reivindicou a responsabilidade pelo hack disse ao The New York Times que havia enviado uma mensagem de texto para um funcionário do Uber alegando ser um profissional de tecnologia da informação corporativa. O trabalhador foi persuadido a entregar uma senha que permitia ao hacker ter acesso aos sistemas do Uber, uma técnica conhecida como engenharia social.
“Esses tipos de ataques de engenharia social nas empresas de tecnologia estão aumentando”, disse Rachel Tobac, executiva-chefe da SocialProof Security. Tobac lembrou do hack do Twitter em 2020, no qual adolescentes usaram engenharia social para invadir a empresa. Técnicas semelhantes foram usadas em violações recentes na Microsoft e na Okta.
“Estamos vendo que os invasores estão ficando espertos e também documentando o que está funcionando”, disse Tobac. “Agora eles têm kits que facilitam a implantação e o uso desses métodos de engenharia social. Tornou-se quase um produto, uma mercadoria”.
O hacker, que forneceu capturas de tela de sistemas internos do Uber para demonstrar seu acesso, disse que tinha 18 anos e trabalhava suas habilidades em segurança cibernética há vários anos. Ele disse que invadiu os sistemas da Uber porque a empresa tinha uma segurança fraca. Na mensagem do Slack que anunciou a violação, a pessoa também disse que os motoristas do Uber deveriam receber salários mais altos.
A pessoa parecia ter acesso ao código-fonte do Uber, e-mail e outros sistemas internos, disse Curry. “Parece que esse garoto que acessou o Uber não sabe o que fazer com isso, e está se divertindo muito”, disse.
Em e-mail interno que foi visto pelo The New York Times, um executivo do Uber disse aos funcionários que o hack estava sob investigação. “Não temos ainda uma estimativa de quando o acesso total às ferramentas será restaurado, então obrigado por nos acompanhar”, escreveu Latha Maripuri, diretora de segurança da informação da empresa.
Não foi a primeira vez que um hacker acessou dados do Uber. Em 2016, hackers roubaram informações de 57 milhões de contas de motoristas e passageiros e, em seguida, abordaram o Uber e exigiram US$ 100 mil para excluir sua cópia dos dados. A Uber alinhou o pagamento, mas manteve a violação em segredo por mais de um ano.
Joe Sullivan, que era o principal executivo de segurança do Uber na época, foi demitido por seu papel na resposta da empresa ao hack. Sullivan foi acusado de obstruir a justiça por não divulgar a violação aos reguladores e está atualmente em julgamento.
Os advogados de Sullivan argumentaram que outros funcionários eram responsáveis pelas divulgações regulatórias e disseram que a empresa havia usado Sullivan como bode expiatório.
Via NY Times
Matéria: Olhar Digital