Zřejmě teprve 18letému mladíkovi se podařilo nabourat do vnitřních systémů Uberu. Důkazy o tom poskytl deníku The New York Times, který o hackerském útoku informoval. Ze systémů technologické platformy pro osobní přepravu měl získat celou řadu údajů a vyřadit některé nástroje z provozu. Zaměstnanci Uberu následně dostali instrukce, že nemají komunikovat prostřednictvím Slacku. Někteří pod podmínkou anonymity listu potvrdili, že nedostupné jsou i další vnitřní systémy.
Someone hacked an Uber employees HackerOne account and is commenting on all of the tickets. They likely have access to all of the Uber HackerOne reports. pic.twitter.com/00j8V3kcoE
— Sam Curry (@samwcyo) September 16, 2022
"Velmi pravděpodobně útočník získal plný přístup do Uberu,“ zhodnotil bezpečnosti Yuka Labs Sam Curry, který s mužem, který se k útoku přihlásil, komunikoval. Podle něj to ukazuje na rozsáhlý bezpečnostní problém. V ohrožení se ocitl zdrojový kód služby, e-mailová komunikace i další interní systémy Uberu. „Vypadá to, že jde o kluka, který se Uberu dostal na kobylku, neví, co s tím, a užívá si života,“ dodal Curry.
K ovládnutí systému Uberu přitom mladík využil sociálního inženýrství. V textové zprávě zaslané zaměstnanci Uberu předstíral, že v podniku má na starosti IT a vylákal z něj heslo. Záhy po útoku zveřejnil i motivaci pro průnik do počítačového systému. Jednak tím chtěl poukázat na chatrné zabezpečení systémů Uberu a dále chce zajistit řidičům společnosti vyšší odměny.
We are currently responding to a cybersecurity incident. We are in touch with law enforcement and will post additional updates here as they become available.
— Uber Comms (@Uber_Comms) September 16, 2022
Není to přitom poprvé, co se hackerům podařilo údajů z Uberu zmocnit. V roce 2016 se dostali k informacím o účtech 57 milionech řidičů a požadovali výkupné 100 tisíc dolarů za to, že tuto kopii nezneužijí. Uber výkupné zaplatil, ale více než rok držel informaci o útoku v tajnosti.
Tehdejší šéf bezpečnosti v Uberu Joe Sullivan za to následně byl propouštěn a hrozí mu vězení. Obviněn byl z maření spravedlnosti, protože o útoku neinformoval regulační orgány. V současné době je s ním vedeno trestní řízení. Jeho právníci ale tvrdí, že za obcházení regulačních předpisů jsou zodpovědni jiní zaměstnanci, a že Uber ředitele Sullivana obětoval.
