CASO UBER

Uber sufrió un hackeo ayer por la tarde y el supuesto atacante dice tener 18
años. Envió SMSs a empleados para comprometer credenciales de una VPN,
ingresó a la red interna donde encontró scripts que contenían contraseñas del
usuario admin de la herramienta Thycotic

Thycotic es una herramienta para proteger las cuentas con privilegios,

principalmente impide que el malware y el ransomware vulneren las aplicaciones
en equipos y evitar ataques de ingeniería social y de suplantación de identidad
(phishing) del correo electrónico.
Al comprometer Thycotic el atacante pudo tener acceso a las cuentas de Amazon
AWS, Google Cloud, sistema de administración de correo electrónico interno,
slack, etc.

Los empleados de Uber se dieron cuenta del hackeo cuando comenzaron a

recibir mensajes en Slack de los que pensaron que solo era una broma
Después recibieron un mensaje del área de seguridad que dejaran de usar slack
inmediatamente
El atacante también tuvo acceso a la sesión de Uber en Hacker1, la cual es una
plataforma para recibir reportes de seguridad que contienen detalles de las
vulnerabilidades en las plataformas de Uber
El atacante respondía los tickets en la plataforma: UBER HAS BEEN HACKED

Uber notificó que el atacante no tuvo acceso a "información sensible" como el

historial de viajes de los usuarios y sus apps operan normalmente
Pero no indicó a que información sensible se refieren
Aunque la cuenta del empleado de Uber tenía activado el 2FA, el atacante dice
que usó la técnica MFA Fatigue attack durante 1 hora, que consiste en
bombardear a las víctimas con notificaciones para que autentiquen sus intentos
de inicio de sesión. con la esperanza de que acepte

El atacante dice que el usuario no aprobaba los inicios de sesión por lo que lo
contactó vía WhatsApp diciendo que era del área de TI y que debía aceptar las
notificaciones, las cuales aceptó en algún momento