2min Security

Hacker raakt Uber met aanval via Slack

Hacker raakt Uber met aanval via Slack

Uber is door een hackaanval getroffen via een gecompromitteerde Slack-account van een medewerker. Dit schrijft The New York Times op basis van bewijsmateriaal dat door de hacker aan de krant en securityexperts zou zijn toegestuurd.

Volgens de krant heeft een hacker toegang gekregen tot de interne systemen van Uber door een medewerker een bericht te sturen op diens Slack-account met het verzoek inloggegevens over te dragen. Vervolgens kreeg de hacker toegang tot diverse interne systemen waar hij data buitmaakte. Ook liet hij medewerkers via een bericht weten dat hij toegang had weten te krijgen

De hacker heeft na zijn inbreuk contact gezocht met de Amerikaanse krant en gaf deze bewijsmateriaal van zijn inbreuk. Onder meer waren dit screenshots van e-mail-, cloud storage- en code repository-omgevingen. Volgens experts had de hacker toegang tot alle informatie van het bedrijf, waaronder broncode.

Met de hack wilde de hacker aantonen dat de systemen van Uber slecht beveiligd zijn. Ook riep hij, aldus de krant, het bedrijf op om zijn medewerkers, chauffeurs en bezorgers beter te betalen voor hun werkzaamheden.

Bevestiging van Uber

Uber heeft de hackaanval min of meer tegenover de New York Times bevestigd, hoewel er geen publieke melding van is gemaakt. Het bedrijf heeft zijn Slack-omgeving en andere interne communicatie- en engineering-systemen meteen offline gehaald om het incident te kunnen onderzoeken. Het bedrijf heeft ook contact gezocht met justitiële organisaties om de hacker te vervolgen.

Niet de eerste keer

Het is niet de eerste keer dat Uber is gehackt. In 2016 werd data van het bedrijf gestolen, waaronder informatie over 57 miljoen accounts van chauffeurs en gebruikers. De hacker vroeg losgeld van 100,000 euro om de gestolen gegevens te deleten. Uber heeft dit losgeld uiteindelijk betaald en hield de hack meer dan een jaar geheim.

Deze hack kostte toenmalig CEO Joe Sullivan de kop. Sullivan staat voor deze actie inmiddels voor de rechter op de beschuldiging dat hij willens en wetens de hack verborgen heeft gehouden voor de Amerikaanse autoriteiten, en hiermee inging tegen de geldende wetgeving rondom hackaanvallen.