„V současné době reagujeme na kybernetický bezpečnostní incident,“ uvedla společnost Uber v prohlášení na Twitteru. „Jsme v kontaktu s orgány činnými v trestním řízení a jakmile budou k dispozici, zveřejníme zde další aktuální informace.“
Podle deníku New York Times získal hacker kontrolu nad interními systémy společnosti Uber poté, co kompromitoval účet jednoho ze zaměstnanců ve službě Slack, který podle deníku komunikoval přímo s útočníkem. Slack, službu pro zasílání zpráv na pracovišti, používá mnoho technologických společností a startupů pro každodenní komunikaci. Uber nyní podle několika zpráv svůj Slack deaktivoval.
Akcie společnosti Uber v pátek v předobchodní fázi obchodování v souvislosti se zprávou o hackerském útoku klesly o 4 %.
Poté, co hacker kompromitoval interní službu Slack společnosti Uber v rámci takzvaného útoku sociálního inženýrství, pokračoval v přístupu do dalších interních databází, uvedl deník Times. V jedné zprávě na Slacku prý hacker napsal: „Oznamuji, že jsem hacker a že společnost Uber utrpěla únik dat.“
V samostatné zprávě, kterou přinesl deník Washington Post, se uvádí, že údajný útočník novinám sdělil, že se do Uberu naboural pro zábavu a že by mohl během několika měsíců vyzradit zdrojový kód společnosti.
Zaměstnanci zpočátku považovali útok za vtip a na zprávy ve službě Slack od údajného hackera odpovídali pomocí emotikonů a GIFů, uvedl deník Post s odvoláním na dvě osoby obeznámené se situací.
Snímky obrazovek sdílené na Twitteru naznačují, že se hackerovi podařilo ovládnout také účty Amazon Web Services a Google Cloud společnosti Uber a získal přístup k interním finančním údajům.
Televizi CNBC se nepodařilo tyto informace nezávisle ověřit. Společnost Uber se odmítla vyjádřit nad rámec svého prohlášení zveřejněného na Twitteru.
I když zatím není zcela jasné, jakým způsobem byly systémy společnosti Uber napadeny, výzkumníci v oblasti kybernetické bezpečnosti uvedli, že podle prvních zpráv se hacker vyhnul sofistikovaným hackerským technikám ve prospěch sociálního inženýrství. Při něm zločinci využívají důvěřivosti a nezkušenosti lidí, aby získali přístup k firemním účtům a citlivým údajům.
„Jedná se o útok s poměrně nízkou vstupní laťkou,“ řekl Ian McShane, viceprezident pro strategii ve společnosti Arctic Wolf zabývající se kybernetickou bezpečností. „Vzhledem k přístupu, který podle svého tvrzení získali, mě překvapuje, že se útočník nepokusil o výkupné nebo vydírání, vypadá to, že to udělal „pro zábavu“.“
„Je to opět důkaz, že nejslabším článkem bezpečnostní ochrany je často člověk,“ dodal McShane.
Zpráva o útoku přichází v době, kdy bývalý šéf bezpečnosti společnosti Uber Joe Sullivan stanul před soudem kvůli narušení bezpečnosti z roku 2016, kdy byly ukradeny záznamy 57 milionů uživatelů a řidičů. V roce 2017 se společnost přiznala, že útok zatajila, a v následujícím roce zaplatila 148 milionů dolarů v rámci vyrovnání s 50 americkými státy a Washingtonem.
Uber se snažil očistit svou image po odchodu Travise Kalanicka, kontroverzního bývalého generálního ředitele, který společnost založil v roce 2009, v roce 2017. Skandály a kontroverze z Kalanickova bouřlivého působení však firmu nadále pronásledují.
V červenci deník The Guardian informoval o úniku tisíců dokumentů, které podrobně popisovaly, jak se Uber prosazoval ve městech po celém světě, i když to znamenalo porušování místních zákonů. V jednom případě bývalý generální ředitel Travis Kalanick prohlásil, že „násilí zaručuje úspěch“ poté, co byl konfrontován ostatními vedoucími pracovníky kvůli obavám o bezpečnost řidičů Uberu vyslaných na protest ve Francii.
V reakci na tehdejší reportáž deníku The Guardian společnost Uber uvedla, že tyto události souvisely s „chováním v minulosti“ a „nejsou v souladu s našimi současnými hodnotami“.
Chcete využít této příležitosti?
Zanechte svůj telefon a email a budete kontaktováni licencovanými odborníky
