Uber vuelve a sufrir un ciberataque en el que habrían quedado expuestos la mayoría de sistemas informáticos y robado informes internos que harían más vulnerable a la empresa para futuros ataques. No ha trascendido aún si también se han visto comprometidos los datos de los clientes que usan sus VTC por medio mundo, también en España. La empresa trabaja con la policía estadounidense para investigar lo sucedido.
[Twitter confirma el hackeo de millones de cuentas: cambia tu contraseña y estos ajustes de seguridad]
El pirata informático responsable de este ataque habría conseguido acceder a la mayoría de sistemas internos de la empresa, incluidos el software de seguridad, los servidores con las operaciones de transporte y los servicios de mensajería internos. La operación habría empezado engañando a un empleado para conseguir su clave, según informa Uber a The New York Times.
La empresa asegura estar trabajando con la policía para investigar lo sucedido, pero no da más detalles del nivel de gravedad del ataque. Mientras, el atacante afirma haber accedido como administrador a todo el sistema de Uber y muestra en capturas ese acceso total a la empresa y sus puntos más sensibles.
Acceso a todo Uber
"Anuncio que soy un hacker y Uber ha sufrido una violación de datos", con este mensaje informaba el hacker a toda la empresa del hackeo a través de su canal interno en Slack. Después el pirata ha compartido capturas de todos los sistemas internos a los que ha conseguido entrar y recopilar información sensible de la compañía.
Bleeping Computer enumera una larga lista de sistemas críticos comprometidos como los dominios de Windows, los servidores de Amazon Web Services, las máquinas virtuales VMware ESXi, el panel de administración de correo electrónico de Google Workspace y el servidor Slack. Aparte del trabajo interno de los empleados, en estos sistemas se gestionan todos los transportes y datos de los clientes.
Por el momento, la compañía no ha indicado ni desmentido que los datos personales de los clientes se hayan visto expuestos. La empresa maneja correos, números de teléfonos, direcciones personales y datos bancarios, por lo que el robo masivo de esta información tendría una gravedad significativa para la seguridad de los usuarios.
Para conseguir esta intromisión, el atacante se ha podido apoyar en la ingeniería social y robar las credenciales de un empleado. Mediante correos phishing y hackeos similares los trabajadores de las empresas suelen ser el pase más fácil de engañar para los ciberdelincuentes, por eso los expertos aconsejan reforzar la formación en ciberseguridad de la plantilla.
Vulnerabilidades de Uber
No obstante, el pirata informático habría encontrado algo de mayor valor. Según indica el ingeniero de seguridad de Yuga Labs, Sam Curry, el ciberdelincuente habría entrado en el programa de recompensas de errores HackerOne, que premia a todos los investigadores que encuentran una vulnerabilidad dentro del sistema de la empresa. Aquí se guardan los puntos más débiles que la marca debe reforzar para evitar ataques.
Antes de que el equipo de seguridad expulsara al intruso, este habría tenido tiempo de descargarse esos informes de brechas de seguridad aún sin resolver. Si esta información cae en malas manos Uber podría enfrentarse a una oleada de ataques en busca de los datos de los usuarios u otro tipo de recompensas.
Curry explica también que el atacante presume de haber comprometido completamente a Uber y ha mostrado capturas de pantalla donde se ve que es administrador dentro de los sistemas de AWS (Amazon Web Services).
Investigación en curso
A través de las redes sociales, Uber ha confirmado el ataque y explica que se encuentra trabajando con la policía para investigar y solucionar el incidente. Prometen informar a medida que tengan más datos.
Es un cambio significativo de actitud con respecto al hackeo masivo que sufrió en 2016 y que llegó a ocultar durante un año. La empresa fue muy criticada por haber pagado recompensa a los piratas informáticos, esto anima a los ciberdelincuentes a seguir operando, y recibió una multa de 148 millones de dólares por no haber informado a su debido tiempo.