Uber na segunda-feira (19/09) divulgou mais detalhes relacionados ao incidente de segurança que aconteceu na semana passada, atribuindo o ataque a um ator de ameaça que acredita ser afiliado ao notório grupo de hacking LAPSUS$.
"Este grupo tipicamente usa técnicas similares para atingir empresas de tecnologia, e só em 2022 violou a Microsoft, Cisco, Samsung, NVIDIA, e Okta, entre outras", disse a empresa sediada em São Francisco em uma atualização. A Uber disse que está trabalhando com "várias empresas forenses digitais líderes" à medida que a investigação da empresa sobre o incidente continua, além de coordenar com o FBI e o Departamento de Justiça sobre o assunto.
Quanto à forma como o ataque se desdobrou, a empresa de compartilhamento de caronas disse que um "EXT contractor" teve seu dispositivo pessoal comprometido com malware e suas credenciais de conta corporativa roubadas e vendidas na dark web, corroborando um relatório anterior do Grupo-IB. "O atacante tentou entrar repetidamente na conta Uber do contratante", disse a empresa.
"Cada vez, o contratante recebia uma solicitação de aprovação de login de dois fatores, que inicialmente bloqueava o acesso. Eventualmente, no entanto, o contratante aceitou um, e o atacante fez login com sucesso". Ao ganhar uma posição, diz-se que o invasor acessou outras contas de funcionários, equipando assim a parte maliciosa com permissões elevadas a "vários sistemas internos" como o Google Workspace e o Slack. Uber também confirmou que o atacante acessou relatórios de bugs HackerOne, mas observou que "qualquer relatório de bug que o atacante tenha conseguido acessar foi remediado".