No início da manhã de sábado, um agente de ameaças chamado ‘UberLeaks’ começou a vazar dados que alegou terem sido roubados do Uber e do Uber Eats em um fórum de hackers conhecido por publicar violações de dados.
Os dados vazados incluem vários arquivos que afirmam ser o código-fonte associado a plataformas de gerenciamento de dispositivos móveis (MDM) usadas pelo Uber e Uber Eats e serviços de terceiros.
O agente da ameaça criou quatro tópicos separados, supostamente para Uber MDM em uberhub.uberinternal.com e Uber Eats MDM, e as plataformas terceirizadas Teqtivity MDM e TripActions MDM.
Cada postagem refere-se a um membro do grupo de hackers Lapsus$ que se acredita ser responsável por vários ataques de alto nível, incluindo um ataque cibernético em setembro no Uber, onde os agentes de ameaças obtiveram acesso à rede interna e ao servidor Slack da empresa.
O BleepingComputer foi informado de que os dados recém-vazados consistem em código-fonte, relatórios de gerenciamento de ativos de TI, relatórios de destruição de dados, nomes de login de domínio do Windows e endereços de e-mail e outras informações corporativas.
Um dos documentos vistos pelo BleepingComputer inclui endereços de e-mail e informações do Windows Active Directory para mais de 77.000 funcionários da Uber.
Embora o BleepingComputer inicialmente pensasse que esses dados foram roubados durante o ataque de setembro, o Uber disse ao BleepingComputer que acredita que está relacionado a uma violação de segurança em um fornecedor terceirizado.
“Acreditamos que esses arquivos estão relacionados a um incidente em um fornecedor terceirizado e não estão relacionados ao nosso incidente de segurança em setembro. Com base em nossa análise inicial das informações disponíveis, o código não é de propriedade da Uber; no entanto, continuamos a investigar esse assunto.” -Uber.
Pesquisadores de segurança que analisaram o vazamento disseram ao BleepingComputer que os dados vazados estão relacionados a informações corporativas internas do Uber e não incluem nenhum de seus clientes.
No entanto, somos informados de que os dados vazados contêm informações detalhadas suficientes para conduzir ataques de phishing direcionados aos funcionários da Uber para adquirir informações mais confidenciais, como credenciais de login.
Portanto, todos os funcionários da Uber devem estar atentos a e-mails de phishing que se fazem passar pelo suporte de TI da Uber e confirmar todas as informações diretamente com os administradores de TI antes de responder a esses e-mails.
A BleepingComputer entrou em contato com a Uber, TripActions e Teqtivity com mais perguntas sobre o incidente, mas não recebeu uma resposta até o momento.
Após a publicação desta história, a Uber compartilhou que os agentes de ameaças roubaram seus dados em uma violação recente da Teqtivity, que usa para gerenciamento de ativos e serviços de rastreamento.
O Uber nos encaminhou para uma notificação de violação de dados da Teqtivity publicada esta tarde, que explica que um agente de ameaça obteve acesso a um servidor de backup Teqtivity AWS que armazena dados para seus clientes.
Isso permitiu que o agente da ameaça acessasse as seguintes informações para empresas que usam sua plataforma.
O Uber disse ao BleepingComputer que o código-fonte vazado no fórum de hackers foi criado pela Teqtivity para gerenciar os serviços do Uber, explicando as muitas referências à empresa de compartilhamento de viagens.
O Uber também reiterou que o grupo Lapsus$ não estava relacionado a essa violação, embora as postagens do fórum façam referência a um dos agentes de ameaças associados ao grupo.
Embora as postagens do fórum afirmem que eles violaram o ‘uberinternal.com’, o Uber disse que não viu nenhum acesso malicioso a seus sistemas.
“O terceiro ainda está investigando, mas confirmou que os dados que vimos até agora vieram de seus sistemas e, até o momento, não vimos nenhum acesso malicioso aos sistemas internos do Uber”, disse o Uber ao BleepingComputer.
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…
Hackers estão explorando o diretório mu-plugins do WordPress para injetar códigos maliciosos que não aparecem…
O Google implementou uma nova funcionalidade de "Detecção de Golpes" com inteligência artificial no aplicativo…
O grupo APT28, ligado à Rússia, está utilizando técnicas avançadas de ofuscação em seus ataques…