15 сентября Uber подверглась хакерской атаке. Злоумышленник проник в систему внутренней коммуникации компании.
Он получил доступ к переписке, электронным адресам сотрудников и облачным данным. По неофициальной информации, хакер заполучил пароль для доступа во внутреннюю систему от одного из сотрудников компании. Сам он заявил New York Times, что взломал Uber, используя социальную инженерию: таким путём злоумышленник получил пароль одного из сотрудников.
Сообщение о хакерской атаке было размещено самим хакером в служебном канале корпоративного мессенджера Slack, которым пользуются в Uber. Однако злоумышленник не выдвинул никаких требований. Он только заявил, что ему 18 лет, и он несколько лет отрабатывал навыки взлома. Также хакер отметил, что у компании слабая система кибербезопасности. Наконец, он выразил мнение, что водители Uber должны получать более высокую оплату.
«Похоже, что доступ получен действительно к очень большим данным», — отметил специалист по безопасности компании Yuga Labs. По данным BleepingComputer, хакеры добрались до многих критически важных IT-систем Uber, включая программное обеспечение безопасности компании, домен Windows, консоль Amazon Web Services, виртуальные машины VMware ESXi, панель администратора электронной почты Google Workspace и сервер Slack. Помимо исходного кода Uber, он также имеет доступ к программе вознаграждения за обнаружение ошибок компании HackerOne. Эти отчёты об уязвимостях должны оставаться конфиденциальными до тех пор, пока не будет выпущено исправление.
Злоумышленник загрузил все отчёты об уязвимостях до того, как потерял доступ к программе поиска ошибок Uber. Сейчас программа HackerOne отключена.
Пока компания оценивает масштабы взлома и проводит внутреннее расследование, сотрудникам Uber предписано не пользоваться системами внутренней коммуникации.
В 2016 году системы Uber также взломали, и тогда была раскрыта личная информация 57 млн человек по всему миру, включая имена, адреса электронной почты и номера телефонов, а также информация о водительских правах примерно 600 тысяч водителей в США. Два человека получили доступ к информации через «сторонний облачный сервис», который в то время использовал Uber.