Uberのハッカーは、Slackチャンネルを含む複数の社内システムへのアクセスを取得し、同社のクラウドベースのサーバーなどを完全に制御していると主張している。これには、Amazon Web ServicesとGoogleのGSuite上のサーバーも含まれる。

驚くべきことに、今回の攻撃は2016年に5,700万人の個人データが漏洩した攻撃を模倣しているようです。これは、Uberが重大なセキュリティホールを修正できなかったため、6年後に同じ攻撃が実行される可能性があったことを示唆しています…

Uberは攻撃があったことを確認しましたが、その範囲についてはまだ詳細を明らかにしていません。現時点では、顧客データが侵害されたかどうかは不明です。

Uberのセキュリティ侵害

Uber の 2 文の声明は次の通りです。

現在、サイバーセキュリティインシデントへの対応を進めております。法執行機関と連絡を取り合っており、新たな情報が入り次第、こちらで最新情報をお知らせいたします。

ニューヨーク・タイムズ紙は、Uber が調査中にさらなる侵害を防ぐため、複数の社内システムをオフラインにしたと報じている。

同社は従業員に対しそれ以上の情報を明かしていない。

ニューヨーク・タイムズが閲覧した社内メールの中で、ウーバー幹部は従業員に対し、ハッキング事件は調査中であると伝えた。「ツールへの完全なアクセスがいつ回復するかは現時点では見通せませんので、今しばらくお待ちください」と、ウーバーの最高情報セキュリティ責任者であるラサ・マリプリ氏は述べた。

ハッカーは攻撃を隠そうとせず、同社のSlackチャンネルの1つで下手な英語でその事実を発表した。

こんにちは、@hereです。
私はハッカーです。Uberがデータ侵害を受けました。Slack
が盗まれ、Confluence、Stash、そしてPhabricatorのモノレポ2件の機密データに加え、Sneakersの秘密情報も盗まれました。
#uberunderpaisdrivers [sic]

彼らはまた、ニューヨークタイムズとセキュリティ研究者の両方に詳細を送信し、自分たちが18歳であることを述べ、攻撃を実行できた詳細を明らかにした。

Uberハッカーがアクセスした方法

セキュリティ研究者が共有したスクリーンショットには、ハッカーがフルアクセス権を獲得した驚くほど簡単な方法を説明している様子が写っている。

• 彼らは従業員に対してソーシャルエンジニアリングを仕掛け、VPN と Slack のログイン情報を入手しました。
• Slack にアクセスすると、ネットワーク共有へのリンクが見つかりました。
• 共有には PowerShell スクリプトが含まれていました。
• これらのうちの 1 つには、Uber 管理者のユーザー名とパスワードが埋め込まれていました。
• これらの資格情報により、他のすべてのものにアクセスできるようになりました。

やり取りを含んだツイートはこちらです:

ハッカーはニューヨークタイムズに対してソーシャルエンジニアリングの要素も認めた。

ハッキングの犯人を名乗る人物はニューヨーク・タイムズ紙に対し、ウーバーの従業員に、企業の情報技術担当者を名乗るテキストメッセージを送ったと語った。従業員は、ハッカーがウーバーのシステムにアクセスするためのパスワードを渡すよう説得された。これはソーシャルエンジニアリングと呼ばれる手法だ。

これは未確認だが、ハッカーとチャットした別のセキュリティ研究者は、説得力があるようだと述べている。

「彼らはUberにほぼ完全なアクセス権を持っている」と、今回の侵入の責任者を名乗る人物と連絡を取ったYuga Labsのセキュリティエンジニア、サム・カリー氏は述べた。「見たところ、これは完全な侵害だ」

管理者の認証情報はもちろんのこと、認証情報が埋め込まれたスクリプトは、まさに重大なセキュリティ上の欠陥です。従業員にパスワードを決して漏らさないことの重要性を徹底させないことも同様です。

以前にこのようなことが起こっていなかったとしても、十分に悪いことだ。しかし、実際に起こったのだ。

2016年のハッキングで使用されたのと同じ手法

Uberは2016年に大規模なデータ侵害に遭い、約5,700万人の顧客とドライバーの個人データが流出した。

影響を受けた5,700万人のユーザーのうち、5,000万人はライダー、残りの700万人はドライバーでした。漏洩した情報には、氏名、メールアドレス、電話番号が含まれていました。さらに、この侵害により、60万人のドライバーのナンバープレート番号も漏洩しました。

同社は情報漏洩を公表せず法律を犯し、その代わりに秘密にするために攻撃者に金銭を支払った。

ブルームバーグの報道によると、この情報漏洩は2016年10月に発生し、ウーバーは1年間にわたりこれを隠蔽しようとしていたという。[…]

Uberの共同創業者兼元CEOであるトラビス・カラニック氏は、2016年11月にこの情報漏洩に気づきました。当時、同社は顧客データの取り扱いをめぐり、ニューヨーク州司法長官およびFTC（連邦取引委員会）との係争に取り組んでいました。そのため、Uberは法的義務に基づき情報漏洩を適切に公表する代わりに、ハッカーに10万ドルを支払い、データを削除して沈黙を守らせました。

信じられないことに、この攻撃ではアクセスをエスカレートするためにまったく同じキー コンポーネントが使用されていたため、6 年経ってもスクリプトに埋め込まれた資格情報が削除されていないのは驚くべきことです。

ブルームバーグは、ハッカーらがUberのソフトウェアエンジニアが使用するプライベートGitHubサイトにアクセスし、そこで見つかったログイン認証情報を使ってAmazon Web Servicesアカウントに保存されている追加データにアクセスしたと説明している。

Uberのハッカーがユーザーデータにアクセスしたかどうかは不明

ハッカーが得たアクセス権には顧客データを閲覧する権限も含まれているようだが、実際にそうしたかどうかについては今のところ報告がない。

攻撃者がアクセス情報を開示し、メディアとセキュリティ研究者の両方に詳細を共有したことを考えると、悪意はなかったと思われます。この行動は、顧客データにアクセスして販売するようなブラックハットハッカーの行動とは一致しないように思われますが、現時点では単なる推測に過ぎません。

写真：サム・モガダム・カムセ/アンスプラッシュ

havebin.com を Google ニュース フィードに追加します。