Uber ออกรายงานชี้แจงการถูกแฮ็กครั้งใหญ่เมื่อสัปดาห์ที่แล้ว จุดเริ่มต้นเกิดจากบัญชีพนักงานสัญญาจ้าง (Uber EXT) ถูกแฮ็กก่อน โดยคาดว่าแฮ็กเกอร์ใช้วิธีซื้อรหัสผ่านรั่วมาจากแหล่งใต้ดิน dark web อีกที

ระบบของ Uber มีการยืนยันตัวตน 2FA ช่วยป้องกันอยู่ แฮ็กเกอร์จึงพยายามล็อกอินอยู่หลายครั้ง และมีครั้งที่พนักงานรายนี้เผลอกดยืนยันการล็อกอิน (ของแฮ็กเกอร์) เลยเข้าระบบได้

จากนั้น แฮ็กเกอร์เข้าถึงบัญชีของพนักงานคนอื่นๆ ได้ และสุดท้ายได้สิทธิเข้า G-Suite กับ Slack และโพสต์ข้อความประกาศการแฮ็กใน Slack ของบริษัท

ตอนนี้ Uber กำลังอยู่ระหว่างการตรวจสอบว่าแฮ็กเกอร์เข้าถึงระบบภายในใดบ้าง ผลการตรวจสอบเบื้องต้นพบว่าไม่ได้เข้าถึงข้อมูลของผู้ใช้, ระบบ production ที่ให้บริการแอพ, ซอร์สโค้ดไม่ถูกแก้ไข

สิ่งที่แฮ็กเกอร์เข้าถึงได้คือ ข้อความใน Slack, เอกสารที่ทีมบัญชีใช้ออกใบแจ้งหนี้, ฐานข้อมูลช่องโหว่ที่ใช้บริการของบริษัท HackerOne แต่ช่องโหว่ทั้งหมดถูกแก้ไขไปเรียบร้อยก่อนหน้าแล้ว

หลังตรวจพบการแฮ็ก ทีมความปลอดภัยของ Uber ปิดการทำงานของระบบภายในบางอย่าง, หมุนคีย์ที่ใช้เข้าระบบภายใน, หยุดรับการแก้ไขซอร์สโค้ดชั่วคราว, รีเซ็ตเซสชันการล็อกอินของพนักงานทั้งหมด และเพิ่มระดับการมอนิเตอร์ระบบภายในให้เข้มข้นขึ้น

Uber คาดว่าแฮ็กเกอร์รายนี้มีความเกี่ยวข้องกับกลุ่มแฮ็กเกอร์ Lapsus$ ที่แฮ็กบริษัทใหญ่ๆ หลายแห่ง เช่น Okta, Microsoft, Samsung, NVIDIA โดยเทคนิคที่ใช้งานแฮ็กระบบมีความคล้ายกันมาก และมีความเป็นไปได้ว่าแฮ็กเกอร์กลุ่มนี้เพิ่งแฮ็ก Rockstar ได้ด้วยเช่นกัน

ที่มา - Uber