Uber: ‘LAPSUS$ zit achter cyberaanval’

Man achter het stuur houdt zijn smartphone vast met daarop het logo van Uber

Uber zegt te weten wie er verantwoordelijk is voor de cyberaanval, die afgelopen week plaatsvond. Volgens het taxibedrijf is de dader een lid van de hackersgroep LAPSUS$. Het bedrijf zegt nauw samen te werken met de FBI en het ministerie van Defensie.

Dat schrijft Uber in een updatebericht over de cyberaanval.

Zo wist de hacker de systemen van Uber binnen te dringen

In het bericht geeft Uber meer details over het ‘cyberincident’ dat het bedrijf sinds vorige week teistert. Uit de beschrijving blijkt dat de aanvaller via social engineering toegang wist te verschaffen tot de interne systemen van het bedrijf. Dat gerucht hoorden we al eerder en wordt nu bevestigd door de taxicentrale.

De hacker slaagde erin om het account van een Uber chauffeur te kraken. Volgens Uber vond de dader diens inloggegevens op het dark web, nadat zijn mobiele telefoon was geïnfecteerd met malware. Vervolgens probeerde de aanvaller zonder succes meerdere malen in te loggen. Zijn inlogpoging mislukte telkens, omdat het account van de medewerker beschermd was met multifactorauthenticatie.

De chauffeur negeerde aanvankelijk de toegangsverzoeken die hij ontving. Uiteindelijk zwichtte hij hiervoor en accepteerde hij het verzoek. De hacker had toen toegang tot de digitale omgeving van Uber.

Medewerkers reageerden snel op aanval

Eenmaal binnen wist de aanvaller de accounts van andere medewerkers over te nemen en kon hij diverse tools gebruiken, waaronder G-Suite en Slack. Op het laatstgenoemde communicatiekanaal plaatste hij een screenshot waaruit bleek dat hij wilde aantonen dat hij in de interne systemen van Uber zat.

“Dankzij onze bestaande beveiligingsbewakingsprocessen konden onze teams het probleem snel identificeren en reageren”, zo schrijft Uber op haar website. De hoogste prioriteit was om de aanvaller uit de systemen te verwijderen om gebruikersgegevens veilig te stellen. Om dat te bereiken blokkeerde ICT-medewerkers diverse gecompromitteerde accounts, werden enkele tools tijdelijk afgesloten en moest iedereen zich opnieuw aanmelden.

Geen vertrouwelijke klantgegevens buitgemaakt

Het onderzoek naar het voorval is nog volop gaande. Toch is Uber bereid om nu al enkele details over de cyberaanval te delen. Om te beginnen zijn er geen aanwijzingen dat de dader databases heeft geraadpleegd waar vertrouwelijke informatie wordt opgeslagen. Er zijn dan ook geen gevoelige klantgegevens buitgemaakt, zoals bankrekeningnummers, creditcardgegevens of reisgeschiedenis. Deze data zijn bovendien versleuteld. Gegevens die in de cloud zijn opgeslagen, zijn evenmin bekeken. De hacker heeft geen wijzigingen aangebracht in de database die de broncode van diverse apps bevat.

De dader is er wel in geslaagd om interne Slack-berichten te downloaden. Ook wist hij de hand te leggen op informatie uit een tool die door medewerkers wordt gebruikt om facturen te maken. Tot slot meldt Uber dat de indringer toegang had tot het dashboard van het internationale bugbountyprogramma HackerOne. Alle bugs en kwetsbaarheden die hij hiermee kon opsporen, zijn inmiddels verholpen.

Ondanks dat de hacker toegang had tot diverse systemen en tools, was de impact voor klanten minimaal.

‘LAPSUS$ verantwoordelijk voor cyberaanval’

Uber eindigt zijn updatebericht met de mededeling dat LAPSUS$ achter de cyberaanval zit. Het is een hackersgroep die volgens cybersecurityexperts doorgaans vanuit Zuid-Amerika opereert. De groep maakte dit jaar al diverse slachtoffers, waaronder NVIDIA, Samsung, Microsoft en Okta. Er gaan geruchten dat het hackerscollectief verantwoordelijk is voor het datalek bij Rockstar Games.

Update (24 september 2022): de Londense politie heeft een 17-jarige jongen uit Oxfordshire gearresteerd. Hij wordt in verband gebracht met de hackaanvallen op Uber en Rockstar Games. De verdachte werd op donderdagavond 22 september aangehouden door de National Cyber Crime Unit (NCCU). Hij maakt onderdeel uit van een internationaal onderzoek.

De Britse politie weigert op dit moment om meer details te verschaffen. Ook de FBI wil momenteel niet inhoudelijke reageren op de kwestie. Het Amerikaanse ministerie van Justitie wil evenmin iets kwijt over de zaak.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen