Daha önce, Hackread.com, araç çağırma hizmetinin kurumsal ağının ihlal edildiğini ve ardından birkaç mühendislik sisteminin ve dahili iletişimin çevrimdışına alındığını bildirdi.
Ayrıca Uber’in, çalışanlarının Uber’in özel işyeri mesajlaşma uygulaması Slack’i kullanmasını durdurduğu ve olayla ilgili soruşturma başlattığı da bildirildi. İşte en son bulgular.
Her şey, 18 yaşında bir erkek olduğunu iddia eden bir bilgisayar korsanının, bir işçinin Slack hesabını ele geçirdikten ve şirketin çeşitli dahili veritabanlarını tehlikeye attıktan sonra Uber’in iletişim sistemine erişmesiyle başladı.
Bilgisayar korsanı, Uber’in veritabanlarını başarıyla tehlikeye attığı için zayıf güvenliğini suçladı ve saldırının kanıtı olarak şirketin iç sistemlerinin ekran görüntülerini sağladı.
Bilgisayar korsanı, Uber’i eğlence için hacklediğini ve yakında sızdırabileceği kaynak koduna sahip olduğunu iddia ederek New York Times ile iletişime geçti.
Soruşturma Ayrıntıları
Uber’e göre, soruşturma hala devam ediyor, ancak bilgisayar korsanının hassas kullanıcı verilerine eriştiğine dair bir kanıt yoktu. Ayrıca Uber Freight, Uber Eats, Uber Drive ve Uber dahil olmak üzere tüm Uber hizmetleri Cuma günü tamamen işlevseldi. En son güncelleme, Uber’in dahili yazılım araçlarının da çevrimiçi olmasıdır.
Uber, ilgili kolluk kuvvetleriyle temas halinde olduğunu ve derinlemesine bir soruşturma için FBI ile işbirliği yaptığını belirtti. Şirket bir tweet’te şunları söyledi:
Uber, Uber Eats, Uber Freight ve Uber Driver uygulaması dahil tüm hizmetlerimiz artık dahili yazılım araçlarını tekrar çevrimiçi hale getiriyor. Dün de paylaştığımız gibi emniyet güçlerine haber verdik.”
Hassas Veriler Açıklanmadı
Uber, güvenlik güncellemesi sayfasında, kullanıcıların kişisel bilgilerinin güvende olduğunu ve bilgisayar korsanının bilgilere eriştiğine dair bir kanıt bulunmadığını iddia etti. Şirket, seyahat geçmişi verilerinin ifşa edilmediğini ve tüm hizmetlerin çalışır durumda olduğunu paylaştı.
Ancak Uber, ihlalin uygulamalarını etkileyip etkilemediğine ilişkin sorulara yanıt vermedi.
Öte yandan, bağımsız güvenlik araştırmacısı Bill Demirkapı bu ‘kanıt yok’ teorisini kabul etmiyor. Demirkapı, saldırganın bilgilere erişmiş olabileceğini ve Uber’in sızma kanıtı bulamadığını gösterdiği için bu tutumun belirsiz olduğuna inanıyor.
Ayrıca Demirkapı, Uber’in hassas verilerin ifşa edilmediğinden bahsettiğini ve veri terimini kullanmaktan kaçındığını belirtti. Bu aynı zamanda veriye maruz kalma olasılığı olduğunu da ima eder.
Uber’in Sürtünme Geçmişi Güvenlik Sorunlarının Ciddiyeti
Uber neredeyse 100 milyon müşteri tabanına ulaşıyor. Şirketin dünya genelinde 71 ülkede ve 10.000 şehirde varlığı var, ancak bilgisayar korsanlığı ve güvenlik açıklarına yaklaşımı her zaman göz ardı edildi.
Ocak 2018’de, Hackread.com tarafından bildirildiği üzere, Hintli bir BT güvenlik araştırmacısı Karan Saini, Uber tarafından kullanılan iki faktörlü kimlik doğrulama (2FA) protokolünde kritik bir güvenlik açığı keşfetti. Kusur, saldırganların 2FA’yı atlamalarına izin verecek ve bu da görünüşe göre bir dizi kötü niyetli eylem gerçekleştirmelerine yol açabilecek.
Saini, hatayı Uber’in 2FA’sında gerçekten bir hata olduğunu kabul eden HackerOne’daki hata ödül programına bildirdi, ancak aynı zamanda şirket bunun ciddiyetini küçümsedi ve bulgularının bilgilendirici olduğunu ancak “bu rapor yararlı bilgiler içeriyordu, ancak acil bir işlem veya düzeltmeyi garanti etmedi. ”
Uber siber suçlulara para ödüyor ama iyi adamlara ödeme yapmıyor
Kasım 2017’de raporlar, Uber’in Ekim 2016’da bilgisayar korsanlarının yaklaşık 75 milyon kullanıcısının özel bilgilerini çaldığı büyük bir güvenlik ihlali yaşadığını ortaya çıkardı. Karşılığında şirket, ihlali gizlemek için bilgisayar korsanlarına 100.000 dolar ödedi.
Bilginiz için, ihlalde iki bilgisayar korsanı ABD’den 600.000 sürücünün adlarını ve lisans numaralarını ve dünya genelinde 57 milyon Uber kullanıcısının adları, e-posta kimlikleri ve cep telefonu numaraları gibi kişisel verileri içeren dosyaları çaldı.
Uber Nasıl Hacklendi?
Uber nasıl hacklendi? Bu bir milyon dolarlık soru. Ancak, dünyayı kötü şöhretli WannaCry fidye yazılımı saldırısından koruyan güvenlik araştırmacısı Marcus Hutchins, cevabı bulduğunu iddia ediyor. Hutchins’in Uber hack’ini ele aldığı en son videosunu izleyin.
Alakalı haberler
- Dark Web’de yüzlerce Uber Eats Kullanıcı kaydı sızdırıldı
- Çin’de Kullanılan ABD Merkezli Müşterilerin Hacklenmiş Uber Hesapları
- Uber Rakibi Careem Hacklendi, 14 milyon müşteri ve sürücü verisi çalındı
- Uber kullanıcıları dikkat; Faketoken Android kötü amaçlı yazılımı, araç paylaşım uygulamalarına isabet ediyor
- Eski Uber CSO’su Joseph Sullivan, 2016 veri ihlalini örtbas etmekle suçlandı