Uber teve segurança violada e sistemas invadidos novamente

BigStock

A Uber descobriu recentemente que sua rede de computadores foi violada, levando a empresa a tirar do ar vários de seus sistemas internos de comunicação e engenharia enquanto investigava a extensão do hack.

A violação parece ter comprometido muitos dos sistemas internos da empresa, e uma pessoa que assumiu a responsabilidade pelo hack enviou imagens de e-mail, armazenamento em nuvem e repositórios de códigos para pesquisadores de segurança cibernética e para o The New York Times.

“Eles têm acesso praticamente total ao Uber”, disse Sam Curry, engenheiro de segurança do Yuga Labs que se correspondeu com a pessoa que alegou ser responsável pela violação. “Este é um comprometimento total, pelo que parece”.

Um porta-voz da Uber disse que a empresa está investigando a violação e entrando em contato com as autoridades policiais.

Os funcionários da Uber foram instruídos a não utilizar o serviço interno de mensagens da empresa, o Slack, e ainda ficaram sabendo que outros sistemas internos estavam inacessíveis, disseram dois funcionários, que não estavam autorizados a falar publicamente.

Pouco antes de o sistema ser desativado na tarde de quinta-feira, os funcionários do Uber receberam uma mensagem que dizia: “Anuncio que sou um hacker e o Uber sofreu uma violação de dados”. A mensagem passou a listar vários bancos de dados internos que o hacker alegou terem sido comprometidos.

O hacker comprometeu a conta Slack de um colaborador e a usou para enviar a mensagem, disse o porta-voz do Uber. Parece que o hacker também conseguiu acesso a outros sistemas internos, postando uma foto explícita em uma página de informações internas para os funcionários.

A pessoa que reivindicou a responsabilidade pelo hack disse ao The New York Times que havia enviado uma mensagem de texto para um funcionário do Uber alegando ser um profissional de tecnologia da informação corporativa. O trabalhador foi persuadido a entregar uma senha que permitia ao hacker ter acesso aos sistemas do Uber, uma técnica conhecida como engenharia social.

“Esses tipos de ataques de engenharia social nas empresas de tecnologia estão aumentando”, disse Rachel Tobac, executiva-chefe da SocialProof Security. Tobac lembrou do hack do Twitter em 2020, no qual adolescentes usaram engenharia social para invadir a empresa. Técnicas semelhantes foram usadas em violações recentes na Microsoft e na Okta.

“Estamos vendo que os invasores estão ficando espertos e também documentando o que está funcionando”, disse Tobac. “Agora eles têm kits que facilitam a implantação e o uso desses métodos de engenharia social. Tornou-se quase um produto, uma mercadoria”.

O hacker, que forneceu capturas de tela de sistemas internos do Uber para demonstrar seu acesso, disse que tinha 18 anos e trabalhava suas habilidades em segurança cibernética há vários anos. Ele disse que invadiu os sistemas da Uber porque a empresa tinha uma segurança fraca. Na mensagem do Slack que anunciou a violação, a pessoa também disse que os motoristas do Uber deveriam receber salários mais altos.

A pessoa parecia ter acesso ao código-fonte do Uber, e-mail e outros sistemas internos, disse Curry. “Parece que esse garoto que acessou o Uber não sabe o que fazer com isso, e está se divertindo muito”, disse.

Em e-mail interno que foi visto pelo The New York Times, um executivo do Uber disse aos funcionários que o hack estava sob investigação. “Não temos ainda uma estimativa de quando o acesso total às ferramentas será restaurado, então obrigado por nos acompanhar”, escreveu Latha Maripuri, diretora de segurança da informação da empresa.

Não foi a primeira vez que um hacker acessou dados do Uber. Em 2016, hackers roubaram informações de 57 milhões de contas de motoristas e passageiros e, em seguida, abordaram o Uber e exigiram US$ 100 mil para excluir sua cópia dos dados. A Uber alinhou o pagamento, mas manteve a violação em segredo por mais de um ano.

Joe Sullivan, que era o principal executivo de segurança do Uber na época, foi demitido por seu papel na resposta da empresa ao hack. Sullivan foi acusado de obstruir a justiça por não divulgar a violação aos reguladores e está atualmente em julgamento.

Os advogados de Sullivan argumentaram que outros funcionários eram responsáveis ​​pelas divulgações regulatórias e disseram que a empresa havia usado Sullivan como bode expiatório.

Fonte: Olhar Digital

LEIA TAMBÉM:

Apenas 17% das empresas possui um data protection officer

Veja lista de softwares piratas que são isca para vírus que rouba dados

BitDefender divulga lista de 35 aplicativos com vírus usados para roubar informações confidenciais

Malware consegue roubar dinheiro de usuários com celulares em versões antigas do Android

Aplicativo espião: o que é spouserware e stalkerware?

Apple obrigará que todo aplicativo da App Store facilite a exclusão de conta

Segurança bancária: brasileiros compram celular para deixar em casa

Novo recurso do Android permitirá ao Google Assistente mudar sua senha se ela vazar

Malware russo consegue registrar tudo o que você faz no celular Android

Grindr: aplicativo de paqueras estaria vendendo dados de localização de seus usuários

Android: sistema segue a Apple e limita compartilhamento dos dados de usuários

Aprenda a revogar o acesso de aplicativos de terceiros no Twitter

Confira 13 dicas para proteção de seus dados bancários no celular

Procon reúne empresas e operadoras para discutir segurança de celulares

Malware disfarçado de aplicativo já roubou senhas de mais de 100 mil usuários do sistema Android

Ucrânia é alvo de ciberataques a bancos e de malware que apaga dados

Novo sistema de proteção “super seguro” utiliza criptografia em computação quântica

Trabalho híbrido: 7 dicas para atuar home office e no escritório com segurança

Golpes por QR Code, LGPD e trojans que roubam celulares serão tendência no cibercrime no país em 2022

Cibercriminosos infestam Play Store com aplicativos falsos usados em golpes

FinSpy: malware espião ataca celulares e computadores

Brasil é o 5º principal alvo de crimes digitais no mundo neste ano

Golpes digitais batem recorde na primeira metade do ano no Brasil

Crescimento nos casos de ransomware está ligado ao trabalho remoto, afirma ESET

Novo golpe via SMS utiliza o PIX para roubar usuários

Confira 13 dicas para proteção de seus dados bancários no celular

Procon reúne empresas e operadoras para discutir segurança de celulares

Malware volta a burlar segurança do Android. Veja os apps que você não deve baixar na Play Store:

Play Store: aplicativo com mais de 10 milhões de downloads se transforma em malware

Categoria de telefones celulares foi a que mais sofreu tentativas de fraudes online no ano passado

Malware é identificado em celular subsidiado pelo governo americano

Malware em teclado de celulares Android faz compras sem a permissão do usuário

Malware já afetou 45 mil celulares Android e não desaparece nem com restauração de fábrica

Hackers atacam usuários de celulares Android com técnicas de phishing por SMS

Malware para Android faz com que hackers invadam seu celular e seu roteador

Encontrar bugs no sistema de um celular pode te fazer milionário; saiba como funciona

Aplicativos pré-instalados tornam Android vulnerável, sugere estudo

Ataque no Android utiliza cartão micro SD para atacar celular da vítima

Ataques que ‘sequestram’ smartphones Android cresceram no ano passado

Esta entrada foi publicada em Tecnologia e marcada com a tag , , , , , , , , , , , , . Adicione o link permanente aos seus favoritos.