Seorang peretas Uber yang telah memperoleh akses ke sejumlah sistem internal perusahaan, termasuk saluran Slack-nya, mengklaim jika memiliki kendali penuh atas server berbasis cloud perusahaan dan banyak lagi.
Ini termasuk server perusahaan di Amazon Web Services dan GSuite Google.
Hebatnya, serangan itu seperti meniru kasus yang pernah terjadi pada tahun 2016 dan membahayakan 57 juta data pribadi.
Ini menunjukkan bahwa Uber gagal memperbaiki lubang keamanan besar-besaran dan memungkinkan serangan yang sama dilakukan 6 tahun kemudian …
Uber telah mengkonfirmasi bahwa serangan itu terjadi, tetapi belum memberikan rincian tentang cakupannya.
Saat ini belum diketahui apakah ada data pelanggan yang telah disusupi.
Pelanggaran Keamanan Uber
Pernyataan dua kalimat Uber mengatakan:Saat ini kami sedang menanggapi insiden keamanan siber. Kami berhubungan dengan penegak hukum dan akan memposting pembaruan tambahan di sini saat tersedia.
The New York Times melaporkan bahwa Uber telah membuat beberapa sistem internal offline untuk mencegah serangan lebih lanjut selama penyelidikannya.
Perusahaan belum mengungkapkan lebih banyak kepada karyawan.
Dalam email internal yang dilihat oleh The New York Times, seorang eksekutif Uber mengatakan kepada karyawan bahwa peretasan itu sedang diselidiki.
“Saat ini kami tidak memiliki perkiraan kapan akses penuh ke alat akan dipulihkan, jadi terima kasih telah mendukung kami,” tulis Latha Maripuri, kepala petugas keamanan informasi Uber.
Peretas tidak merahasiakan serangan itu, kemudian mengumumkan fakta dalam bahasa Inggris yang buruk di salah satu saluran Slack perusahaan.
Mereka juga mengirimkan rinciannya kepada NYT dan peneliti keamanan yang menyatakan bahwa mereka berusia 18 tahun, serta mengungkapkan rincian bagaimana mereka dapat melakukan serangan itu.
Bagaimana Peretas Uber Mendapat Akses
Tangkapan layar yang dibagikan oleh peneliti keamanan tampaknya menunjukkan peretas menjelaskan cara sederhana untuk mendapatkan akses penuh.
- Mereka melakukan rekayasa sosial ke seorang karyawan untuk mendapatkan VPN dan login Slack mereka.
- Setelah di Slack, mereka menemukan tautan ke jaringan berbagi.
- Bagian tersebut berisi skrip Powershell.
- Salah satunya menyematkan nama pengguna dan kata sandi admin Uber.
- Kredensial tersebut memberi mereka akses ke semua hal lainnya.
Peretas juga mengkonfirmasi elemen rekayasa sosial ke NYT.
Orang yang mengaku bertanggung jawab atas peretasan itu mengatakan kepada The New York Times bahwa dia telah mengirim pesan teks ke seorang pekerja Uber yang mengaku sebagai orang teknologi informasi perusahaan.
Pekerja itu dibujuk untuk menyerahkan kata sandi yang memungkinkan peretas mendapatkan akses ke sistem Uber dengan teknik yang dikenal sebagai rekayasa sosial.
Meskipun ini belum diverifikasi, peneliti keamanan lain yang melakukan chat dengan peretas mengatakan bahwa itu memang tampak meyakinkan.
:Mereka cukup banyak memiliki akses penuh ke Uber,”kata Sam Curry, seorang security engineer di Yuga Labs yang berhubungan dengan orang yang mengaku akan bertanggung jawab atas pelanggaran tersebut. “Ini adalah kompromi total, dari apa yang terlihat.”
Script dengan kredensial yang disematkan, apalagi kredensial admin adalah kegagalan keamanan yang sangat besar.
Juga kegagalan untuk menekankan kepada karyawan akan pentingnya tidak pernah mengungkapkan kata sandi mereka.
Metode yang Sama Digunakan pada Peretasan 2016
Uber sebelumnya mengalami pelanggaran data besar-besaran pada tahun 2016 dengan memperlihatkan data pribadi sekitar 57 juta pelanggan dan pengemudi.
Dari 57 juta pengguna yang terkena dampak, 50 juta adalah pengendara dan 7 juta pengemudi lainnya. Informasi yang bocor termasuk nama, alamat email dan nomor telepon.
Selain itu, nomor lisensi 600.000 pengemudi terungkap selama pelanggaran
Seperti dicatat dalam laporan dari Bloomberg, pelanggaran awalnya terjadi pada Oktober 2016, dengan Uber bekerja untuk menyembunyikannya selama satu tahun
Travis Kalanick, salah satu pendiri dan mantan CEO Uber, diberitahu tentang pelanggaran tersebut pada November 2016.
Sekitar waktu yang sama, perusahaan sedang menyelesaikan masalah dengan jaksa agung New York dan FTC mengenai penanganan data pelanggan.
Jadi, alih-alih mengungkapkan pelanggaran dengan benar, merupakan kewajiban hukum untuk dilakukan, Uber membayar peretas $ 100.000 untuk menghapus data dan tetap diam.
Luar biasa, serangan ini menggunakan komponen kunci yang sama persis untuk meningkatkan akses, jadi tampaknya mengejutkan bahwa itu masih belum menghapus kredensial yang disematkan dari script sekitar 6 tahun yang lalu!
Bloomberg menjelaskan bahwa peretas dapat mengakses situs GitHub pribadi yang digunakan oleh insinyur perangkat lunak di Uber dan menggunakan kredensial masuk yang ditemukan di sana untuk mengakses data tambahan yang disimpan di akun Amazon Web Services.
Tidak Diketahui apakah Peretas Uber Mengakses Data Pengguna
Tampaknya akses yang diperoleh peretas mencakup kemampuan untuk melihat data pelanggan, tetapi belum ada laporan apakah mereka melakukannya.
Mengingat bahwa penyerang mengungkapkan akses mereka dan berbagi detail dengan media dan peneliti keamanan, tampaknya tidak ada maksud untuk menyakiti.
Perilaku ini tidak konsisten dengan peretas black hat yang akan mengakses dan menjual data pelanggan, tetapi ini hanya spekulasi pada saat ini.
Recent Comments