Компьютерная сеть Uber была взломана.
Компания по вызову такси заявила, что проводит расследование после того, как несколько внутренних коммуникаций и инженерных систем были скомпрометированы.
The New York Times впервые сообщила о взломе после того, как хакер отправил газете изображения электронной почты, облачного хранилища и репозиториев кода.
Сотрудникам Uber было приказано не использовать приложение для обмена сообщениями Slack на рабочем месте, говорится в отчете со ссылкой на двух сотрудников.
Незадолго до того, как система Slack была отключена, сотрудники Uber получили сообщение следующего содержания: «Я объявляю, что я хакер, и в Uber произошла утечка данных».
Позже выяснилось, что хакер смог получить доступ к другим внутренним системам, разместив откровенную фотографию на странице внутренней информации для сотрудников.
Uber заявил, что связался с властями по поводу нарушения.
Нет никаких признаков того, что взлом затронул парк транспортных средств Uber, его клиентов или платежные данные.
Охотники за ошибками
Uber платит абонентскую плату HackerOne, платформе поиска ошибок, базирующейся в Калифорнии. Программа Bug Bounty используется многими крупными компаниями — по сути, они платят этичным хакерам за выявление ошибок.
Сэм Карри, один из охотников за ошибками, общался с хакером Uber. «Похоже, они скомпрометировали много вещей», — сказал он.
Карри сказал, что разговаривал с несколькими сотрудниками Uber, которые сказали, что они «работают над тем, чтобы заблокировать все внутри», чтобы ограничить доступ хакера.
Он сказал, что нет никаких признаков того, что хакер нанес какой-либо ущерб или заинтересован в чем-то большем, чем реклама.
Крис Эванс, главный хакер HackerOne, сказал Би-би-си: «Мы находимся в тесном контакте с командой безопасности Uber, заблокировали их данные и продолжим помогать в их расследовании».
Кто ответственный?
BBC увидела сообщения от кого-то, кто утверждал, что различные учетные записи администраторов Uber находятся под их контролем.
The New York Times сообщает, что хакеру 18 лет, он несколько лет работал над своими навыками кибербезопасности и взломал систему Uber, потому что «у них была слабая защита».
В сообщении Slack, в котором сообщалось о нарушении, человек также сказал, что водители Uber должны получать более высокую оплату.
В кибербезопасности говорится, что «люди — самое слабое звено», и этот взлом еще раз показывает, что преступников впустил обманутый сотрудник.
Хотя поговорка верна, она также крайне недобра.
Более полная картина, возникающая здесь, показывает, что этот хакер был высококвалифицированным и высоко мотивированным.
Как мы видели на примере недавних взломов Okta, Microsoft и Twitter, молодые хакеры с большим количеством свободного времени и наплевательским отношением могут убедить даже самых осторожных сотрудников совершать ошибки в области кибербезопасности.
Эта форма взлома с помощью социальной инженерии даже старше, чем сами компьютеры — достаточно спросить об этом печально известного бывшего хакера Кевина Митника, который еще в 70-х годах сладко болтал по телефонным сетям.
Разница сегодня в том, что хакеры могут сочетать дар болтливости с очень сложным и простым в использовании программным обеспечением, чтобы сделать свою работу еще проще.