En Uber-skylt visas vid företagets huvudkontor i San Francisco, måndagen den 12 september 2022. Uber sa torsdagen den 15 september att den nådde polisen efter att en hackare uppenbarligen brutit sig mot dess nätverk. En säkerhetsingenjör sa att inkräktaren gav bevis för att ha fått tillgång till viktiga system vid färdtjänsten. Kredit:AP Photo/Jeff Chiu, Arkiv
Uber sa på torsdagen att de kontaktade polisen efter att en hackare uppenbarligen hade brutit mot dess nätverk. En säkerhetsingenjör sa att inkräktaren gav bevis för att ha fått tillgång till viktiga system vid färdtjänsten.
Det fanns inget som tydde på att Ubers fordonsflotta eller dess drift påverkades på något sätt.
"Det verkar som om de har kompromissat med en massa saker", säger Sam Curry, en ingenjör på Yuga Labs som kommunicerade med hackaren. Det inkluderar fullständig tillgång till Amazon- och Google-värdade molnmiljöer där Uber lagrar sin källkod och kunddata, sade han.
Curry sa att han pratade med flera Uber-anställda som sa att de "jobbar på att låsa ner allt internt" för att begränsa hackarens åtkomst. Det inkluderade San Francisco-företagets Slack interna meddelandenätverk, sa han.
Han sa att det inte fanns några tecken på att hackaren hade gjort någon skada eller var intresserad av något mer än publicitet. "Min magkänsla är att det verkar som om de är ute efter att få så mycket uppmärksamhet som möjligt."
Hackaren hade larmat Curry och andra säkerhetsforskare om intrånget på torsdagskvällen genom att använda ett internt Uber-konto för att kommentera sårbarheter som de tidigare hade identifierat i företagets nätverk genom dess bug-bounty-program, som betalar etiska hackare för att lösa nätverkssvagheter.
Hackaren angav en Telegram-kontoadress och Curry och andra forskare engagerade dem sedan i en separat konversation och delade skärmdumpar av olika sidor från Ubers molnleverantörer för att bevisa att de bröt sig in.
Associated Press försökte kontakta hackaren på Telegram-kontot där Curry och de andra forskarna chattade med dem. Men ingen svarade.
New York Times rapporterade att personen som tog på sig ansvaret för hacket sa att de fick åtkomst genom social ingenjörskonst:De skickade ett sms till en Uber-arbetare som påstod sig vara en teknisk anställd hos företaget och övertalade arbetaren att lämna över ett lösenord som gav dem åtkomst till nätverket.
The Times sa att hackaren rapporterade att han var 18 år gammal och sa att de bröt sig in för att företaget hade svag säkerhet.
En skärmdump som publicerats på Twitter och bekräftats av forskare visar en chatt med hackaren där de säger att de skaffat en administrativ användares referenser genom social ingenjörskonst.
Social ingenjörskonst är en populär hackningsstrategi, eftersom människor tenderar att vara den svagaste länken i alla nätverk. Tonåringar använde ett liknande knep 2020 för att hacka Twitter
Uber sa via e-post att de "för närvarande svarar på en cybersäkerhetsincident. Vi är i kontakt med brottsbekämpning." Det sa att det skulle tillhandahålla uppdateringar på sitt Uber Comms-twitterflöde.
Företaget har blivit hackat tidigare.
Dess före detta säkerhetschef, Joseph Sullivan, står för närvarande inför rätta på grund av anklagelser om att han ordnade för att betala hackare 100 000 dollar för att dölja ett högteknologiskt rån 2016 där personlig information om cirka 57 miljoner kunder och förare stals. + Utforska vidare
© 2022 Associated Press. Alla rättigheter förbehållna. Detta material får inte publiceras, sändas, skrivas om eller omdistribueras utan tillstånd.
