Uber ออกรายงานชี้แจงการถูกแฮ็กครั้งใหญ่เมื่อสัปดาห์ที่แล้ว จุดเริ่มต้นเกิดจากบัญชีพนักงานสัญญาจ้าง (Uber EXT) ถูกแฮ็กก่อน โดยคาดว่าแฮ็กเกอร์ใช้วิธีซื้อรหัสผ่านรั่วมาจากแหล่งใต้ดิน dark web อีกที
ระบบของ Uber มีการยืนยันตัวตน 2FA ช่วยป้องกันอยู่ แฮ็กเกอร์จึงพยายามล็อกอินอยู่หลายครั้ง และมีครั้งที่พนักงานรายนี้เผลอกดยืนยันการล็อกอิน (ของแฮ็กเกอร์) เลยเข้าระบบได้
จากนั้น แฮ็กเกอร์เข้าถึงบัญชีของพนักงานคนอื่น ๆ ได้ และสุดท้ายได้สิทธิเข้า G-Suite กับ Slack และโพสต์ข้อความประกาศการแฮ็กใน Slack ของบริษัท
ตอนนี้ Uber กำลังอยู่ระหว่างการตรวจสอบว่าแฮ็กเกอร์เข้าถึงระบบภายในใดบ้าง ผลการตรวจสอบเบื้องต้นพบว่าไม่ได้เข้าถึงข้อมูลของผู้ใช้, ระบบ production ที่ให้บริการแอป, ซอร์สโค้ดไม่ถูกแก้ไข
สิ่งที่แฮ็กเกอร์เข้าถึงได้คือ ข้อความใน Slack, เอกสารที่ทีมบัญชีใช้ออกใบแจ้งหนี้, ฐานข้อมูลช่องโหว่ที่ใช้บริการของบริษัท HackerOne แต่ช่องโหว่ทั้งหมดถูกแก้ไขไปเรียบร้อยก่อนหน้าแล้ว
หลังตรวจพบการแฮ็ก ทีมความปลอดภัยของ Uber ปิดการทำงานของระบบภายในบางอย่าง, หมุนคีย์ที่ใช้เข้าระบบภายใน, หยุดรับการแก้ไขซอร์สโค้ดชั่วคราว, รีเซ็ตเซสชันการล็อกอินของพนักงานทั้งหมด และเพิ่มระดับการมอนิเตอร์ระบบภายในให้เข้มข้นขึ้น
Uber คาดว่าแฮ็กเกอร์รายนี้มีความเกี่ยวข้องกับกลุ่มแฮกเกอร์ Lapsus$ ที่แฮ็กบริษัทใหญ่ ๆ หลายแห่ง เช่น Okta, Microsoft, Samsung, NVIDIA โดยเทคนิคที่ใช้งานแฮ็กระบบมีความคล้ายกันมาก และมีความเป็นไปได้ว่าแฮ็กเกอร์กลุ่มนี้เพิ่งแฮก Rockstar ได้ด้วยเช่นกัน
ที่มา – Uber
——————————————————————————————————————
ที่มา : Blognone by MK / วันที่เผยแพร่ 20 ก.ย.65
Link : https://www.blognone.com/node/130499
