Uber sufrió un ataque cibernético el día 15 de septiembre por la tarde con un hacker supuestamente de 18 años que descargó informes de vulnerabilidad de HackerOne y compartió capturas de pantalla de los sistemas internos de la compañía, el panel de correo electrónico y el servidor Slack.

Las capturas de pantalla compartidas por el ciberdelincuente informático muestran lo que parece ser un acceso completo a muchos sistemas críticos de TI de Uber, incluido el software de seguridad de la empresa y el dominio de Windows.

Otros sistemas a los que accedió el hacker incluyen la consola de Amazon Web Services de la empresa, las máquinas virtuales VMware vSphere/ESXi y el panel de administración de Google Workspace para administrar las cuentas de correo electrónico de Uber.

El actor de amenazas también violó el servidor Uber Slack, que usó para publicar mensajes a los empleados indicando que la empresa fue hackeada. Sin embargo, las capturas de pantalla del Slack de Uber indican que estos anuncios se encontraron primero con memes y bromas, ya que los empleados no se habían dado cuenta de que se estaba produciendo un ciberataque real.

Desde entonces, Uber ha confirmado el ataque, tuiteando que están en contacto con la policía y publicarán información adicional a medida que esté disponible.

"Actualmente estamos respondiendo a un incidente de seguridad cibernética. Estamos en contacto con la policía y publicaremos actualizaciones adicionales aquí a medida que estén disponibles", tuiteó la cuenta de Uber Communications.

The New York Times, que fue el primero en informar sobre la violación, dijo que habló con el actor de amenazas, quien dijo que violaron a Uber después de realizar un ataque de ingeniería social contra un empleado y robar su contraseña.

Luego, el actor de amenazas obtuvo acceso a los sistemas internos de la empresa utilizando las credenciales robadas.

El viernes 16 de septiembre por la tarde, Uber publicó una actualización adicional que indica que la investigación aún está en curso, pero podría compartir estos detalles adicionales:

• No tenemos evidencia de que el incidente haya involucrado el acceso a datos confidenciales del usuario (como el historial de viajes).

• Todos nuestros servicios, incluidos Uber, Uber Eats, Uber Freight y la aplicación Uber Driver, están operativos.

• Como compartimos ayer, hemos notificado a la policía.

• Las herramientas de software internas que eliminamos ayer como medida de precaución volverán a estar en línea esta mañana.

Informes de vulnerabilidad de HackerOne expuestos

Si bien es posible que el actor de amenazas robara datos y código fuente de Uber durante este ataque, también tuvo acceso a lo que podría ser un activo aún más valioso, el hacker también tuvo acceso al programa de recompensas por errores HackerOne de la compañía, donde comentaron sobre todos los boletos de recompensas por errores de la compañía.

Uber ejecuta un programa de recompensas por errores HackerOne que permite a los investigadores de seguridad revelar de forma privada vulnerabilidades en sus sistemas y aplicaciones a cambio de una recompensa monetaria por errores. Estos informes de vulnerabilidad deben mantenerse confidenciales hasta que se pueda publicar una solución para evitar que los atacantes los exploten en los ataques.

Además que un empleado de Uber dijo que el actor de amenazas tenía acceso a todas las presentaciones de vulnerabilidades privadas de la compañía en HackerOne. Una fuente también dijo que el atacante descargó todos los informes de vulnerabilidad antes de perder el acceso al programa de recompensas por errores de Uber. Esto probablemente incluye informes de vulnerabilidad que no se han solucionado, lo que presenta un grave riesgo de seguridad para Uber.

Desde entonces, HackerOne ha desactivado el programa de recompensas por errores de Uber, cortando el acceso a las vulnerabilidades reveladas.