تعرضت أوبر لهجوم إلكتروني -حادثة اختراق Uber- بعد ظهر يوم الخميس 15-أيلول من متسلل يُزعم أنه يبلغ من العمر 18 عاماً . يقوم المتسلل بتنزيل تقارير الثغرات في HackerOne ومشاركة لقطات شاشة للأنظمة الداخلية للشركة ولوحة معلومات البريد الإلكتروني وخادم Slack. تُظهر لقطات الشاشة التي شاركها المخترق ، وشاهدها روبودين، ما يبدو أنه وصول كامل إلى العديد من أنظمة Uber IT الهامة. بما في ذلك برامج الأمن المطبقة في الشركة و نطاق نظام التشغيل windows domain.
تشمل الأنظمة الأخرى التي يصل إليها المتسلل وحدة تحكم Amazon Web Services الخاصة بالشركة والأجهزة الافتراضية VMware vSphere / ESXi . إضافة للوحة تحكم مشرف Google Workspace لإدارة حسابات البريد الإلكتروني في Uber.
اختراق لم يعد سراً
قام المخترق أيضاً باختراق خادم Uber Slack ، والذي استخدمه لنشر رسائل للموظفين تفيد بأن الشركة قد تم اختراقها. ومع ذلك ، تشير لقطات شاشة من Slack الخاص بـ Uber إلى أن هذه الإعلانات قد قوبلت أولاً بمذكرات ونكات و مزاح. لم يدرك الموظفون وقوع هجوم إلكتروني فعلي. وأكدت أوبر منذ ذلك الحين الهجوم ، وغرد حساب Uber Communications بأنها على اتصال بسلطات إنفاذ القانون وستنشر معلومات إضافية عندما تصبح متاحة. “نحن نستجيب حالياً لحادث يتعلق بالأمن السيبراني. نحن على اتصال بسلطات إنفاذ القانون وسننشر تحديثات إضافية هنا عند توفرها” . قالت صحيفة نيويورك تايمز ، التي أبلغت لأول مرة عن الاختراق ، إنها تحدثت إلى المخترق ، الذي قال إنه اخترق أوبر بعد تنفيذ هجوم هندسة اجتماعية على موظف وسرقة كلمة المرور الخاصة به.
بعد ذلك ، تمكن المهاجم من الوصول إلى الأنظمة الداخلية للشركة باستخدام الحساب المسروق. بعد ظهر يوم الجمعة ، نشرت أوبر تحديثاً إضافياً يفيد بأن التحقيق لا يزال مستمراً. ولكن يمكنها مشاركة بعض التفاصيل الإضافية. ليس لدينا أي دليل على أن الحادث تضمن الوصول إلى بيانات المستخدم الحساسة (مثل سجل الرحلة). جميع خدماتنا بما في ذلك Uber و Uber Eats و Uber Freight وتطبيق Uber Driver قيد التشغيل. كما أعلنا بالأمس ، أبلغنا سلطات إنفاذ القانون. أدوات البرامج الداخلية التي قمنا بإزالتها كإجراء احترازي بالأمس عادت إلى الانترنت هذا الصباح.
حادثة اختراق Uber-الهندسة الاجتماعية مجدداً
بدأت المزيد من التفاصيل بالظهور بعد أن أعلن المهاجم أنه اخترق أنظمة Uber على خادم Slack الخاص بالشركة. وفي تعليقات لتقديمها على برنامج HackerOne bug bounty ، تواصل الباحثون الأمنيون مع المهاجم لمعرفة المزيد عن الهجوم. قال المتسلل في محادثة بينه وبين الباحث الأمني Corben Leo : أنه تمكن من الوصول إلى شبكة Uber’s Intranet بعد تنفيذ هجوم هندسة اجتماعية على أحد الموظفين.
وفقاً للمهاجم، فقد حاول تسجيل الدخول كموظف في Uber لكنه لم يقدم تفاصيل حول كيفية وصوله إلى معلومات الحساب credentials. و نظراً لأن حساب Uber محمي بمصادقة متعددة العوامل ، يُزعم أن المهاجم استخدم هجوم MFA Fatigue وتظاهر بأنه من فريق الدعم الفني Uber IT لإقناع الموظف بقبول طلب MFA.
هجمات MFA Fatigue مجدداً
تحدث هجمات MFA Fatigue عندما يكون لدى المهاجمين إمكانية الوصول إلى بيانات اعتماد تسجيل دخول الشركة ولكن يتم حظره من الوصول إلى الحساب عن طريق المصادقة متعددة العوامل. ثم يصدرون طلبات متكررة للمصادقة متعددة العوامل MFA إلى الهدف حتى يتعب الضحايا من تلك الرسائل ويقبلون أخيرًا الإخطار -المزيف-. تذكر حادثة اختراق Uber بمخاطر أسلوب الهندسة الاجتماعية MFA Fatigue. أصبح هذا الأسلوب شائعاً للغاية في الهجمات الأخيرة ضد الشركات المعروفة ، بما في ذلك Twitter و MailChimp و Robinhood و Okta.
بعد الوصول إلى credentials ، أخبر المهاجم Leo أنه قام بتسجيل الدخول إلى الشبكة الداخلية من خلال VPN الخاص بالشركة وبدأ بمسح شبكة الانترانت الخاصة بالشركة بحثاً عن معلومات حساسة. كجزء من عمليات الفحص هذه ، يقول المتسلل إنه عثر على سكريبت PowerShell يحتوي على بيانات اعتماد المسؤول عن (PAM) في الشركة والتي تم استخدامها للوصول إلى معلومات تسجيل الدخول للخدمات الداخلية الأخرى للشركة. و ذكرت صحيفة نيويورك تايمز أن المهاجم ادعى أنه وصل إلى قواعد بيانات أوبر وكود المصدر كجزء من الهجوم.
الكشف عن تقارير الثغرات HackerOne
في حين أنه من المحتمل أن يكون الفاعل قد سرق البيانات وشفرة المصدر من أوبر أثناء هذا الهجوم ، إلا أنه كان لديه أيضاً إمكانية الوصول إلى ما يمكن أن يكون أصلًا أكثر قيمة. وفقاً لمهندس أمن المعلومات Sam Curry ، تمكن المتسلل أيضاً من الوصول إلى برنامج المكافآت HackerOne الخاص بالشركة ، حيث علق على جميع تذاكر مكافآت الشركة.
تدير أوبر برنامج مكافأة الأخطاء HackerOne الذي يسمح للباحثين الأمنيين بالكشف بشكل خاص عن الثغرات الأمنية في أنظمتهم وتطبيقاتهم مقابل مكافأة مالية. من المفترض أن تظل تقارير الثغرات الأمنية سرية حتى يتم إصدار إصلاح للثغرات لمنع المهاجمين من استغلالها في الهجمات.
أخطار مستقبلية
وقال موظف في Uber قال إن المهاجم استطاع الوصول إلى جميع عمليات إرسال الثغرات الأمنية الخاصة بالشركة على HackerOne. و أخبر مصدر أيضاً BleepingComputer أن المهاجم قام بتنزيل جميع تقارير الثغرات الأمنية قبل أن يفقد الوصول إلى برنامج المكافآت من Uber. من المحتمل أن يتضمن ذلك تقارير الثغرات الأمنية التي لم يتم إصلاحها ، مما يمثل خطراً أمنياً شديداً على Uber. قام HackerOne منذ ذلك الحين بتعطيل برنامج Uber bug bounty. مما أدى إلى قطع الوصول إلى الثغرات الأمنية التي تم الكشف عنها. ومع ذلك ، لن يكون مفاجئاً إذا قام ذلك المهاجم بالفعل بنشر تقارير الثغرات الأمنية. بل من المرجح أن يبيعها إلى جهات تهديد أخرى للاستفادة من الهجوم بسرعة.