Uber é hackeado e PAM é comprometido

16/09/2022 mindsecblog Notícias 0

Uber é hackeado e PAM é comprometido. Hacker obteve acesso a chave do Gerenciador de Senhas Privilegiadas (PAM).

O Uber parece ter sido violado novamente, depois que um agente de ameaças acessou seus sistemas de e-mail e nuvem, repositórios de código, conta interna do Slack e tíquetes HackerOne. 

A gigante de caronas divulgou uma mensagem concisa no Twitter  ontem dizendo que está “atualmente respondendo a um incidente de segurança cibernética” e está em contato com as autoridades, mas nenhum outro detalhe foi compartilhado.

 

Enquanto isso, o suposto hacker enviou capturas de tela para o New York Times e pesquisadores de segurança mostrando que eles tinham acesso a vários sistemas internos de TI corporativos.

Eles também sequestraram uma conta interna do Slack e anunciaram a violação aos funcionários, antes de postar uma imagem pornográfica em uma página separada da intranet.

O acesso inicial foi obtido depois que o hacker se fez passar por um membro do departamento de TI e enviou um texto a um funcionário solicitando sua senha, de acordo com o relatório . O agressor alega ter apenas 18 anos.

O engenheiro de segurança da equipe do Yuga Labs , Sam Curry, que está interagindo com o hacker e os funcionários do Uber, explicou no Twitter que relatórios de vulnerabilidades confidenciais também parecem ter sido comprometidos.

Alguém invadiu a conta HackerOne de um funcionário da Uber e está comentando em todas as passagens. Eles provavelmente têm acesso a todos os relatórios do Uber HackerOne” , disse ele.

Isso é potencialmente sério se o indivíduo quiser monetizar bugs que ainda não foram corrigidos ou divulgados publicamente.

O invasor está alegando ter comprometido completamente o Uber, mostrando capturas de tela onde eles são administradores completos na AWS e no GCP”, acrescentou.

A notícia chega apenas uma semana após o início de um processo judicial histórico no qual os promotores estão acusando o ex-diretor de segurança da Uber Joe Sullivan de não divulgar adequadamente uma enorme violação de dados de 2016 de 57 milhões de usuários.

Diz-se que a empresa pagou aos agentes de ameaças responsáveis ​​​​pela violação no valor de US $ 100.000 na tentativa de manter o incidente em segredo.

Se Sullivan for considerado culpado, será a primeira vez que um profissional de segurança será considerado pessoalmente culpado por tal incidente.

A empresa de entrega de alimentos e compartilhamento de caronas admitiu que algo está acontecendo, dizendo que está investigando o assunto com os federais:

A julgar pelas capturas de tela vazadas no Twitter, porém, um intruso comprometeu a conta de nuvem da Uber na AWS e seus recursos no nível administrativo; ganhou controle de administrador sobre o espaço de trabalho corporativo do Slack, bem como sua conta do Google G Suite que tem mais de 1 PB de armazenamento em uso; tem controle sobre a implantação e as máquinas virtuais do VMware vSphere da Uber; acesso a dados financeiros internos, como despesas corporativas; e mais.

Se isso estiver correto, a Uber foi significativamente comprometida com dados e infraestrutura em vários níveis disponíveis para o intruso. Isso provavelmente inclui dados pessoais de clientes e motoristas.

Houve outras reivindicações de acesso não autorizado a uma instalação do Confluence, repositórios privados de código-fonte e um painel de segurança SentinelOne usado pela equipe de resposta a incidentes do desenvolvedor do aplicativo.

Falha no Uber

Até a conta de recompensas de bugs do gigante dos EUA HackerOne foi aparentemente comprometida, e notamos que agora está fechada.

De acordo com os bibliotecários de malware do VX Underground , o intruso estava usando a conta H1 sequestrada para postar atualizações sobre envios de recompensas para se gabar do grau de seu pwnage, alegando que eles têm todos os tipos de acesso de superusuário dentro do aplicativo de carona.

Isso também significa que o intruso tem acesso aos relatórios de vulnerabilidade de segurança do Uber.

O observador da Infosec Corben Leo, por sua vez, disse que conversou com o meliante responsável por essa bagunça.

Fomos informados de que um funcionário foi atacado socialmente pelo invasor para obter acesso à VPN do Uber, por meio do qual o invasor escaneou a rede, encontrou um script do PowerShell contendo as credenciais codificadas para um usuário administrador no Thycotic (software gerenciador de senhas privilegiadas – PAM), que foram usadas para desbloquear o acesso a todos os recursos internos de nuvem e software como serviço da Uber, entre outras coisas.

Depois disso, tudo estava na ponta dos dedos do intruso, supostamente.

O New York Times informou que os funcionários do Uber foram instruídos a parar de usar o Slack corporativo e que a chamada para sair do aplicativo de bate-papo veio depois que o intruso enviou uma mensagem declarando: “Anuncio que sou um hacker e o Uber sofreu uma violação de dados.

O Times afirmou que a mensagem do Slack listava “vários bancos de dados internos que o hacker alegou terem sido comprometidos”. Vários sistemas corporativos já foram desligados pela Uber.

O jornal também informou que o funcionário da Uber com engenharia social foi alvo de phishing via SMS, entregando erroneamente suas credenciais de login ao intruso, permitindo-o entrar na VPN.

O caçador de bugs Sam Curry disse que ouviu da equipe do Uber que revelou que alguns funcionários achavam que as mensagens do intruso eram uma brincadeira e continuou usando o Slack, apesar da equipe de TI ordenar que eles saíssem.

Em vez de fazer qualquer coisa, boa parte da equipe interagia e zombava do hacker pensando que alguém estava fazendo uma brincadeira”, disse Curry. “Depois de serem instruídos a parar de folgar, as pessoas continuaram fazendo piadas.

Evidências desse mal-entendido surgiram no Twitter na forma de uma captura de tela do espaço de trabalho privado do Slack do Uber.

O Uber sofreu uma enorme violação de dados em 2016 e supostamente tentou encobri-la. Na ocasião o Uber viu informações pessoais de 57 milhões de passageiros e motoristas vazadas.

Fonte: Information Security Magazine & The Register

Veja também:

Sobre mindsecblog 2571 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube Linkedin

Artigos Relacionados

Seja o primeiro a comentar

Deixe sua opinião!