Uber geeft aan dat de recente cyberaanval is uitgevoerd door een lid van de beruchte Lapsus$-groep. De cybercrimineel kreeg toegang tot de Uber-systemen via een externe medewerker van het techbedrijf.

In een update over de aanval geeft Uber aan dat een externe medewerker de aanvalsvector bleek te zijn. De cybercrimineel die de aanval uitvoerde heeft de inloggegevens van deze medewerker bij Uber waarschijnlijk via het darkweb weten te verkrijgen. Met deze gegevens is hij of zij vervolgens gaan proberen toegang te krijgen.

Verschillende keren werd geprobeerd via de gecompromitteerde account toegang te krijgen, maar de cybercrimineel stuitte daarbij op two-factorauthenticatie. Uiteindelijk heeft de bewuste Uber-contractant toch een keer autorisatie verleend, waardoor de hacker de Uber-systemen kon binnendringen.

Vervolgstappen in aanval

Vanuit deze positie kreeg de cybercrimineel toegang tot meerdere accounts van Uber-medewerkers die hem de toestemming gaven voor het gebruik van collaborationtools, waaronder G-Suite en Slack. De aanvaller plaatste een bericht in een Slack-kanaal en paste het OpenDNS van het bedrijf aan om een grafische boodschap te laten zien aan medewerkers op interne systemen.

Uber laat expliciet weten dat bij de aanval geen gebruikersgegevens zijn buitgemaakt. De hacker kreeg geen toegang tot databases die belangrijke gegevens als credit cardinformatie, bankgegevens of de logs van ritten opslaan.

Lapsus$-groep verantwoordelijk

Uber wist naar eigen zeggen ook de identiteit van de aanvaller te bevestigen. Het zou hierbij om een aanvaller gaan die onder de naam ‘teapotuberhacker’ opereert. Deze hacker zou verbonden zijn aan de beruchte Lapsus$-groep. De groep was eerder dit jaar verantwoordelijk voor aanvallen op Okta, Nvidia, Cisco, Samsung en Microsoft.

Uber geeft aan inmiddels een flink aantal maatregelen te hebben genomen om herhaling van deze cyberaanval te voorkomen. Ook wordt nauw samengewerkt met securitybedrijven en de Amerikaanse justitiële organisaties om de daders op te sporen en te berechten.

Tip: Hacker raakt Uber met aanval via Slack

Lees meer