Недавно в Uber произошла еще одна утечка данных, которая, как подтвердила компания, не связана с сентябрьской утечкой данных. Компания по заказу поездок и доставке еды заявила, что последняя утечка затронула Teqtivity, сторонний инструмент, который она использует для управления активами и услуг отслеживания.

Согласно серии сообщений об утечке данных на хакерском форуме BreachForums, обнаруженных и опубликованных Bleeping Computer, за взломом Uber стоит злоумышленник, называющий себя UberLeaks .

Хотя сообщения об утечках относятся к группе кибервымогателей Lapsus$, которая несет ответственность за многочисленные громкие взломы и утечки в 2022 году и, возможно, за сентябрьский взлом Uber, компания отрицает причастность Lapsus$ к взлому.

Открывает новое окнонесанкционированный доступ к серверу резервного копирования AWS, на котором размещен код компании и данные клиентов. Сохраненные данные, которые были нарушены, включали информацию об устройстве, включая серийный номер, марку, модели и технические характеристики; и информация о пользователе, включая имя, фамилию, рабочий адрес электронной почты и сведения о местоположении работы.

Роберт Эймс, исследователь угроз в SecurityScorecard, сказал Spiceworks: «Поставщикам и другим третьим сторонам часто предоставляется такой же доступ, как и сотрудникам, но с меньшими мерами безопасности, что делает их слабым звеном и, следовательно, популярной мишенью для злоумышленников. Когда хакеры получают доступ к сторонним системам, они могут получить доступ к любым данным, хранящимся в этой системе, даже если они принадлежат другим организациям».

По данным BleepingComputer, один просочившийся документ содержит адреса электронной почты и информацию Windows Active Directory более чем 77 000 сотрудников Uber. Другие просочившиеся данные включают отчеты об управлении ИТ-активами, отчеты об уничтожении данных, исходный код, имена для входа в домен Windows и другую корпоративную информацию.

В одном из сообщений об утечке также упоминается взлом исходного кода платформ управления мобильными устройствами (MDM) с сайта uberinternal.com, который, по словам компании, не имеет доказательств взлома. Остальные три сообщения об утечке утверждают, что содержат данные с трех разных платформ, а именно: Uber Eats MDM, Teqtivity MDM и TripActions MDM.

«Утечка информации Windows Active Directory может дать злоумышленникам дополнительное преимущество, если они попытаются скомпрометировать внутреннюю инфраструктуру Uber», — сказала Spiceworks Тоня Дадли, директор по информационным технологиям в Cofense. «Если злоумышленники смогут сопоставить утечки паролей с текущими сотрудниками, они смогут идентифицировать сотрудников, которые повторно использовали один и тот же пароль».

Стефан Ченетт, соучредитель и технический директор AttackIQ, добавил, что Uber несколько раз подвергался злонамеренной киберактивности. «За последние годы в Uber произошло множество взломов. Помимо громкого нарушения, которое произошло три месяца назад и привело к взлому внутренних баз данных компании, Uber также сталкивался с другими серьезными атаками в прошлом, такими как массовая утечка данных в 2016 году, в результате которой были раскрыты данные около 57 миллионов клиентов и водителей. ».

Следовательно, Uber останется фаворитом киберпреступников. Эрих Крон, специалист по вопросам безопасности в KnowBe4, сказал Spiceworks: «К сожалению, из-за исторических событий Uber будет оставаться не только мишенью, но и объектом пристального внимания, когда дело доходит до инцидентов, связанных с безопасностью».

Последнее нарушение Teqtivity не затронуло клиентов Uber. Тем не менее, это влияет на клиентов Teqtivity, хотя затронутые организации остаются неизвестными.

«Важно, чтобы организации, которым доверяют конфиденциальные данные, а также их сторонние поставщики, применяли упреждающие подходы к оценке и проверке своих средств безопасности. Это должно включать сопоставление организационных возможностей и элементов управления безопасностью с конкретными сценариями атак, чтобы измерить их готовность обнаруживать, предотвращать и реагировать на эти угрозы», — добавил Шенетт.

Тем не менее, эксперты считают, что масштабы нарушения, как количественные, так и с точки зрения скомпрометированных данных, могут привести к последующим кибератакам посредством фишинга и целевого фишинга.

Крон заключил: «Личная информация о сотрудниках и клиентах может быть легко использована для создания более актуальных и правдоподобных атак социальной инженерии в будущем. Люди, чья информация могла быть получена или утекла, должны быть осведомлены о потенциальном неправомерном использовании данных и о том, как это может повлиять на них».

«Для всех сотрудников особенно важно следить за фишинговыми электронными письмами, выдающими себя за ИТ-поддержку», — добавил Дадли. «Индикаторы того, что электронное письмо может быть попыткой фишинга, включают неподходящий тон или приветствие, грамматические или орфографические ошибки и несоответствия в адресах электронной почты, ссылках и доменных именах. Сотрудники также должны подтверждать всю информацию непосредственно у ИТ-администраторов, прежде чем отвечать на такие электронные письма».