{"id":12981,"date":"2022-09-25T11:53:24","date_gmt":"2022-09-25T15:53:24","guid":{"rendered":"https:\/\/www.notaoficial.com\/s\/?p=12981"},"modified":"2022-09-25T11:53:24","modified_gmt":"2022-09-25T15:53:24","slug":"uber-sufrio-ciberataque-francisco-dagostino","status":"publish","type":"post","link":"https:\/\/www.notaoficial.com\/s\/2022\/09\/25\/uber-sufrio-ciberataque-francisco-dagostino\/","title":{"rendered":"Uber sufri\u00f3 ciberataque"},"content":{"rendered":"

Por Francisco D’Agostino<\/p>\n

ESET<\/a>, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas, alerta que Uber confirm\u00f3<\/a> que sufri\u00f3 un incidente de seguridad y est\u00e1 investigando lo sucedido. Al parecer, la compa\u00f1\u00eda fue v\u00edctima del acceso indebido a varios de sus sistemas y el atacante envi\u00f3 a investigadores y a medios como el New York Times (NYT), que\u00a0dio a conocer la noticia<\/a>, capturas de pantalla de correos, servicios de almacenamiento en la nube y repositorios de c\u00f3digo para demostrar que hab\u00eda logrado acceder a los sistemas.<\/p>\n

Seg\u00fan afirm\u00f3 el atacante al medio, para acceder a los sistemas de Uber primero enga\u00f1aron a trav\u00e9s de ingenier\u00eda social a un empleado, lograron acceso a su VPN y luego escanearon la Intranet.<\/p>\n

Por Francisco D’Agostino<\/p>\n

El investigador Sam Curry habr\u00eda intercambiado mensajes con quien asegura ser el responsable del ataque. \u00c9ste le envi\u00f3 capturas para demostrar que habr\u00eda logrado acceso completo a una parte importante y cr\u00edtica de la infraestructura tecnol\u00f3gica de Uber, como son: acceso a cuentas de administrador, a los servidores de Amazon Web Service, el panel de HackerOne con el reporte de las vulnerabilidades, el canal de Slack, acceso a cuentas de administrador de vSphere y de Google Suite. Seg\u00fan Curry, parece que se trata de un compromiso total de sus sistemas:<\/p>\n

Por otra parte, se solicit\u00f3 a quienes trabajan en Uber no utilizar la plataforma de comunicaci\u00f3n Slack, que luego fue puesta fuera de servicio.<\/p>\n

Al parecer, hab\u00eda una red compartida que conten\u00eda scripts de powershell y uno de estos scripts conten\u00eda las credenciales de acceso para un usuario con permisos de administrador de una soluci\u00f3n llamada PAM de thycotic que es utilizada para la gesti\u00f3n de accesos privilegiados. Y desde aqu\u00ed habr\u00edan ingresado al resto de los servicios.<\/p>\n

Por Francisco D’Agostino<\/p>\n

El d\u00eda viernes Uber public\u00f3<\/a> informaci\u00f3n actualizada con respecto al incidente y puntualiz\u00f3 lo siguiente:<\/p>\n