Taxidienst Uber heeft de cyberaanval van vorige week gekoppeld aan een hacker van de Lapsus$-bende, een groep die beschuldigd wordt van talrijke geruchtmakende incidenten. Het bedrijf zei ook dat de aanvaller in staat was om Slack-berichten en factuurgerelateerde gegevens van het bedrijf te downloaden of te openen via een interne tool.
Dat maakte het Amerikaanse bedrijf uit San Francisco op maandag in een blogpost bekend. “Wij denken dat deze aanvaller gelieerd is aan een hackersgroep genaamd Lapsus$, die het laatste jaar steeds actiever is geworden”, zo valt er te lezen. “We denken daarnaast dat dezelfde groep ook verantwoordelijk is voor de aanval op gameontwikkelaar Rockstar Games”. Bij die controversiële hack werden deze week beelden vrijgegeven van het langverwachte ‘Grand Theft Auto 6’.
Lapsus$ werd eerder dit jaar bekend toen de bende beweerde een aantal prominente techbedrijven te hebben gehackt, waaronder Microsoft, Nvidia, Okta en Samsung. De vermeende leider van de bende, een 16-jarige die het pseudoniem “White” gebruikte, werd in maart gearresteerd. Maar vanwege zijn leeftijd is zijn identiteit niet openbaar gemaakt. De bende is echter actief gebleven, zoals dit recente voorval lijkt aan te tonen.
Het blogbericht is de eerste keer dat Uber het incident publiekelijk toeschrijft aan de Lapsus$-bende.
“Cyberbeveiligingsincident”
Vorige week raakte bekend dat iemand had ingebroken in het netwerk van Uber. “We reageren momenteel op een cyberbeveiligingsincident”, zei het communicatieteam van de taxidienst donderdagavond in een tweet. “We staan in contact met de wetshandhaving en zullen hier aanvullende updates plaatsen zodra die beschikbaar zijn.”
“Ze hebben vrijwel de volledige toegang tot Uber”, zei Sam Curry, een beveiligingsingenieur bij Yuga Labs die contact had met de persoon die beweerde verantwoordelijk te zijn voor de inbreuk, tegen de New York Times. “Dit is een totale compromis, van wat het lijkt.”
Uber zei een dag later, op vrijdagmiddag, in een update dat er “geen bewijs was dat het incident betrekking had op toegang tot gevoelige gebruikersgegevens”, zoals de ritgeschiedenis van passagiers.
Social engineering
De persoon die de verantwoordelijkheid voor de hack opeiste, vertelde de Times dat hij een sms had gestuurd naar een Uber-medewerker. In dat bericht beweerde de hacker een informaticus van het bedrijf te zijn. De werknemer werd vervolgens overgehaald om een wachtwoord te geven waarmee de hacker toegang kreeg tot de systemen van Uber, een techniek die bekend staat als social engineering.
“We zien dat aanvallers slim worden en ook documenteren wat werkt,” zei Rachel Tobac, chief executive van SocialProof Security. “Ze hebben nu kits die het gemakkelijker maakt om deze social engineering-methoden in te zetten en te gebruiken”. “Bedrijven die gevoelige gegevens van klanten beheren zullen extra voorzichtig moeten zijn, aangezien hackers steeds vaker achter deze klantgegevens (zoals creditcardgegevens en digitaal gestuurde foto’s van identiteitskaarten en rijbewijzen red.) aanzitten”.
Niet de eerste keer
Het is niet de eerste keer dat Uber te maken heeft met een beveiligingslek. Hackers stalen in 2016 gegevens van 57 miljoen bestuurders- en rijdersaccounts. De taxidienst betaalde ruim 100.000 dollar aan de aanvallers om het lek te verdoezelen. Het nieuws van de hack kwam echter aan het licht, waardoor het bedrijf in 2018 akkoord ging met een schikking van 148 miljoen dollar met 50 Amerikaanse staten.
(jvdh)