Minden rendszerre kiterjedő adatbiztonsági incidenst szenvedhetett el az Uber - adta hírül elsőként a The New York Times. A tegnap történt esetről azóta több információ is napvilágot látott, ám az akció pontos részletei lehet, hogy sosem derülnek ki.

A vállalat egyelőre csak annyit nyilatkozott, hogy vizsgálják a történteket, amit a jelek szerint egy mindössze 18 éves fiatal követett el. Ezt ő maga állította a lapnak, tettei alátámasztására pedig több képet is küldött, amelyeken az látszik, hogy teljes jogkört kapott kritikus belső alkalmazások és cloudos szolgáltatások (AWS, Google Cloud) felett.

Az akció állítólagos elkövetője azt is elmondta, hogy egy teljesen egyszerű, régóta ismert trükkel sikerült házon belülre kerülnie. Egy alkalmazott ugyanis kiadta neki a belépési adatait, miután a hekker egy SMS-ben(!) az Uber informatikai osztályán dolgozó személynek adta ki magát. (Az egyelőre nem világos, hogy a kétfaktoros azonosítást miként tudta kijátszani a támadó.)

A jelszó segítségével a támadó hozzáfért a vállalati hálózat anyagaihoz, amelyekben kiemelt szintű hitelesítő adatokat is talált, ezek ezeket felhasználva pedig a jelek szerint gyakorlatilag már mindenhez hozzáférhetett. Az elkövetőnek még arra is volt ideje, hogy egy belső kommunikációs csatornán a cég minden dolgozóját értesítse a kibertámadás tényéről. 

A témával kapcsolatban nyilatkozó biztonsági szakértők egyöntetűen nagyon súlyosnak tartják az ügyet, mivel a hekker valószínűleg bármilyen Ubernél tárolt adathoz hozzáférhetett (utazási előzmények, címek, egyéb személyes adatok). Ráadásul a megszerzett jogosultságok birtokában akár a naplófájlokat is manipulálhatta, ami igencsak megnehezíti az okozott károk teljes felmérését.

Volt már rá példa

Nem ez az Uber történetének első kibertámadása, ám az eddigi információk alapján, a mostani eset az egyébként igen komoly vihart kavart 2016-os incidenst is túlszárnyalhatja az okozott károk tekintetében. Nyolc évvel ezelőtt egy csapatnak olyan állományokat sikerült letöltenie az AWS felhőjéből, amelyek összesen 57 millió ember személyes adatait tartalmazták. A cég ráadásul az ügyet titokban tartotta, a támadók pedig 100 ezer dollárt kaptak a hallgatásukért.

Az érintett ügyfeleket és sofőröket végül csak bő egy évvel a történtek után értesítették, miután a frissen kinevezett vezérigazgató igyekezett kihajítani a csontvázakat a cég szekrényéből. A fuvarmegosztó cég a biztonsági incidens következményeit egy közel 150 millió dolláros 2018-as egyezséggel tudta csak végleg lezárni.