Uber ble hacket med simpelt triks: – Kan skje hvem som helst, ifølge forsker

Fikk full tilgang, ifølge sikkerhetseksperter.

Uber ble hacket med simpelt triks: – Kan skje hvem som helst, ifølge forsker
Uber er det foreløpig seneste offeret for et alvorlig dataangrep. Illustrasjonsfoto: Colourbox/40137233

Som Digi.no rapporterte forrige uke ble den app-baserte taxitjenesten Uber det seneste offeret for et hackerangrep. Nå foreligger det mer informasjon om innbruddet, som viser seg å være ganske skremmende, rapporterer blant andre nyhetsbyrået AP og New York Times.

Det var i en i en sikkerhetsmelding på torsdag at Uber først kommuniserte at de var i ferd med å respondere på et angrep, og at politimyndigheter var varslet.

På fredag ble det opplyst at etterforskningen fremdeles pågikk, men at det hittil ikke er funnet beviser på at sensitive data er blitt stjålet. Flere interne programvareverktøy ble tatt ned som et forebyggende tiltak, men disse ble senere gjenopprettet.

Hadde full tilgang

Angrepet skal ha kompromittert flere av Ubers interne systemer. Personen som hevder å være ansvarlig for angrepet sendte skjermbilder til flere medier som bekrefter at vedkommende hadde tilgang til e-poster, kildekode og sensitive data som Uber lagrer hos skytjenester – deriblant finansiell informasjon og kundedata.

Les også

Flere sikkerhetseksperter uttalte i forbindelse med angrepet at hackeren mer eller mindre hadde full tilgang til alt som trengs for å gjøre stor skade.

– Hvis han hadde hatt nøklene til kongeriket kunne han begynt å stanse tjenester. Han kunne slettet innhold. Han kunne lastet ned kundedata, endret folks passord, sa forsker ved sikkerhetsselskapet Zellic til AP.

Ifølge sikkerhetseksperter som skal ha kommunisert med gjerningspersonen er hackeren en ung mann på 18 år som opplyste at han hacket Uber fordi selskapet har svake sikkerhetsløsninger.

Med andre ser det ut til at det dreier seg om en «hvit hatt»-hacker uten ondsinnede intensjoner. Personen skal visstnok ha indikert at han ønsker publisitet, men at han ikke er ute etter penger eller andre verdier.

– Kan skje hvem som helst

Saken er uansett alvorlig siden den eksponerer en angrepsflate som i utgangspunktet er enkel å benytte seg av. Angrepet ble nemlig gjennomført med en heller primitiv form for sosial manipulasjon, og ikke via sofistikerte, tekniske prosesser som slike angrep vanligvis krever.

Hackeren startet angivelig med å utgi seg for å selv være ansatt hos Uber, for på den måten å lure en annen ansatt til å gi fra seg innloggingsinformasjon. Dette ble igjen brukt til å lokalisere passord på nettverket som ga angriperen nettverkstilgang på systemadministratornivå.

– Den harde sannheten er at de fleste organisasjoner i verden kan hackes på akkurat samme måte som Uber nettopp ble hacket fordi de fleste ikke iverksetter de mange praksisene som vi snakker om for å redusere risikoene vi så i dette angrepet. Dette er en sak alle kan lære av, overalt, sa sjef hos sikkerhetsselskapet SocialProof Security, Rachel Tobac, overfor AP.

Ifølge sikkerhetsselskapet Check Point Norge er denne typen sosial manipulasjon noe som også øker i omfang.

– Social engineering er noe vi i økende grad ser mer av, her bruker hackerne både offline og online metoder for å manipulere brukere til å utføre bestemte handlinger, eller avsløre konfidensiell informasjon, for eksempel detaljer om fjerntilgang, sa Pål Aaserudseter, sikkerhetsarkitekt i Check Point Norge, i en kommentar til Digi.no.

Les også

Les mer om: