Ciudad de México, a 19 de septiembre de 2022 – Mientras concluye nuestra investigación, brindamos una actualización sobre la respuesta al incidente de seguridad del 15 de septiembre de 2022.

¿Qué sucedió?

La cuenta de un contratista de Uber fue vulnerada por un ataque. Es probable que el atacante haya comprado la contraseña corporativa de Uber del contratista en la dark web, después de que el dispositivo personal del contratista fuese infectado con malware y expusiera sus credenciales. El atacante intentó de manera reiterada ingresar a la cuenta de Uber del contratista. En cada ocasión, el contratista recibió una petición de autenticación de ingreso de dos factores, que de inicio detuvo el acceso. Sin embargo, eventualmente el contratista aceptó una de las peticiones y el atacante logró ingresar.

De ahí, el atacante tuvo acceso a varias cuentas de otros empleados, lo cual terminó por darle permisos a ciertas herramientas, incluidas G-Suite y Slack. El atacante después subió un mensaje a un canal de Slack de toda la compañía, y reconfiguró el OpenDNS de Uber para mostrar una imagen con contenido gráfico a empleados en algunos sitios internos de la compañía.

¿Cómo respondimos?

Nuestros procesos existentes de monitoreo de seguridad lograron que nuestros equipos identificaran la situación de manera veloz y actuaran para responder a ella. Nuestras principales prioridades fueron que el atacante no tuviera acceso a nuestros sistemas; asegurarnos de que los datos de los usuarios estuvieran protegidos y que los servicios de Uber no fuesen afectados; de ahí la prioridad fue investigar la magnitud y el impacto del incidente.

Aquí algunas acciones clave que tomamos y seguimos tomando:

  • Identificamos cuentas de empleados que fueron vulneradas o pudieron ser vulneradas y bloqueamos su acceso a los sistemas de Uber o les pedimos crear una nueva contraseña.
  • Apagamos varias de las herramientas internas que fueron afectadas o pudieron ser afectadas.
  • Rotamos las llaves (y reiniciamos el acceso) a varios de nuestros servicios internos.
  • Cerramos nuestra base de código para prevenir cualquier cambio de código.
  • Al restaurar acceso a las herramientas internas, pedimos a los empleados que volvieran a autenticar sus accesos. También estamos fortaleciendo nuestras políticas de autenticación multifactorial.
  • Añadimos monitoreo adicional de nuestro ecosistema interno para revisar con mayor detalle cualquier actividad sospechosa.

¿Cuál fue el impacto?

El atacante tuvo acceso a varios sistemas internos, y nuestra investigación se ha enfocado en determinar si hubo algún impacto material. Aunque la investigación sigue su curso, tenemos algunos detalles que podemos compartir en estos momentos.

Antes que nada, no hemos identificado que el atacante haya tenido acceso a los sistemas de producción (aquellos dirigidos al público) que sostienen nuestras aplicaciones; tampoco a cuentas de usuarios; o a las bases de datos que utilizamos para guardar información sensible como números de tarjetas de crédito, información bancaria de usuarios, o historiales de viaje. También encriptamos información de tarjetas de crédito e información personal de salud, lo cual ofrece una capa extra de protección.

Hemos revisado nuestra base de código y no hemos detectado que el atacante haya realizado algún cambio. Tampoco hemos encontrado que el atacante haya tenido acceso a datos de clientes o usuarios que se hayan guardado en la nube (por ejemplo, AWS S3). Al parecer el atacante descargó algunos mensajes internos de Slack, y también tuvo acceso o descargó información de una herramienta interna que nuestro equipo de finanzas utiliza para administrar algunas facturas. Estamos en proceso de analizar esas descargas.

El atacante también tuvo acceso a nuestro tablero de HackerOne, donde investigadores de seguridad reportan errores y vulnerabilidades. No obstante, cualquier reporte de error al que el atacante haya tenido acceso ya fue remediado.

Durante todo este tiempo pudimos mantener activos y totalmente funcionales todos nuestros servicios a clientes, como Uber, Uber Eats, y Uber Freight. Como inhabilitamos algunas herramientas internas, las operaciones de atención al cliente fueron afectadas mínimamente y ya están de vuelta a la normalidad.

¿Quién es responsable?

Creemos que el atacante (o atacantes) está afiliado a un grupo de hackers llamado Lapsus$, cuya actividad ha incrementado durante el último año. Este grupo tiende a usar técnicas similares para atacar a compañías de tecnología, y tan solo en 2022 ha afectado a Microsoft, Cisco, Samsung, Nvidia, y Okta, entre otros. También hubo reportes este fin de semana de que este mismo grupo atacó con éxito a la compañía de videojuegos Rockstar Games. Estamos actuando en coordinación con el FBI y el Departamento de Justicia de Estados Unidos sobre este tema y continuamos apoyando sus investigaciones.

¿Qué sigue?

Estamos trabajando con varias compañías líderes de análisis forense como parte de la investigación. También tomaremos esta oportunidad para fortalecer nuestras políticas, prácticas y tecnología para proteger a Uber todavía más en caso de ataques futuros.