9:43
22/11/2017

Uber ujawnił, że rok temu padł ofiarą włamywaczy, którzy pozyskali dane 57 milionów użytkowników (w tym 7 milionów kierowców). Co gorsza, Uber przez rok świadomie nie informował ani służb ani ofiar o incydencie, a jakby tego było mało, zapłacił 100 000 dolarów włamywaczom aby “skasowali dane”.

Uber - fałszywe konta na sprzedaż

Uber – prawdziwe konta na sprzedaż

Uber właśnie zwolnił szefa bezpieczeństwa i prawnika, który do niego raportował. Ponoć to ich pomysłem było ukrycie faktu włamania przed światem.

Jak technicznie doszło do ataku?

Dwójka atakujących uzyskała dostęp do prywatnego repozytorium kodu Ubera na Githubie, skąd pozyskała jakieś hasła. Następnie haseł tych użyto do dostępu do serwerów Ubera na Amazonie. To właśnie na tych serwerach znaleziono paczki z danymi pasażerów i kierowców.

Co więcej, jak informuje NYT, firma wyśledziła włamywaczy po tym jak przekazała im okup i zmusiła do podpisania NDA (umowy o zakazie ujawniania informacji). Całość wypłaty następnie “wyprano” jako nagroda w programie bug bounty — bo na mocy podpisanego porozumienia Ubera z włamywaczami, właśnie tym stał się, po fakcie, ten incydent.

Wygląda więc na to, że Ubera zgubił reuse haseł. Pytanie jak włamywacze “uzyskali dostęp do prywatnego repozytorium na GitHubie”, no i w jaki sposób przekazano pieniądze?

PS. Ostatnie nagminne przejęcia kont pasażerów to raczej nie jest efekt tego włamania. Włamywacze — jak twierdzi Uber — nie mieli dostępu do hashy haseł.

Przeczytaj także:

23 komentarzy

Dodaj komentarz
  1. I co, to szef bezpieczeństwa wyłożył ze swojej kieszeni 100k$ w tajemnicy przed szefostwem?:) Ktoś chyba musiał się na to zgodzić

  2. Możliwe, że dostęp uzyskany do projektu jak ostatnio z Nową Erą na bitbuckecie ;)

  3. nie mielli dostępu do hashy haseł, ale może mieli dostęp do haseł w plain text xD

  4. O jakich “nagminnych przejęciach kont użytkowników” piszecie? Macie jakieś źródło? Jestem zaniepokojony, bo sam używam ubera i nie chciałbym żeby ktoś przejął dostęp do konta z podpiętą kartą płatniczą…

    • Odnotowaliśmy w ostatnich miesiącach dużo zgłoszeń od naszych czytelników, którym ktoś przejął konta na Uberze. Nie udało nam się jednak znaleźć cech wspólnych. Podejrzewamy jednak reuse haseł użytkowników w bazach, które wyciekały.

    • Ja wczoraj miałam taką sytuację. Patrzę na swoje konto (nie loguję się codziennie) i kilka stówek mi zeszlo na transakcje średnio od 80 zł do 150 zł zarejestrowane na US. Po 3 h był odzew ze strony Ubera, anulowali transakcje, niby zwrot kasy w drodze, ale kartę zastrzegłam (nie można usunąć podczepionej – trzeba zmienić na inną, a innej nie posiadam, więc ratowały mnie limity na transakcje + przelanie na inny numer konta do którego nie mam karty). Dzisiaj zamówiłam nową kartę +pre paid na cele takich aplikacji. Jeżeli chodzi o usunięcie konta u nich to nic to nie daje, ponieważ przez 30 dni jest w statusie ‘Dezaktywowany’, gdzie gdy ktoś się zaloguje to ponownie je aktywuje i znów problem wraca…

    • a ten jeden Uber nie ma filtrów geo – jak jestem z Polska i mój telefon też jest w Polska, to czemu mi ściąga $ w innym kraju – wogle to moim zdaniem każda aplikacja powinna mieć możliwość ustawiania geostref, które samodzielnie user autoryzuje – jestem w dolnośląskim – nie wypłacisz moja kartą pieniędzy w stołecznym / a przynajmniej poza polską…

  5. czyli zgodnie z prawem, maja obowiazek poinformowania mnie (jako uzytkownika ubera) o wykradzeniu moich danych ?

  6. Pieniądze przekazano zapewne BTC

    • Jeśli ograli to jako BB, to pewnie nie. Pytanie czy ich zdoxowali przed czy po zapłacie.

  7. Dane dostępowe w repo. Gz :)

  8. Hm hm.
    “PS. Ostatnie nagminne przejęcia kont pasażerów to raczej nie jest efekt tego włamania. Włamywacze — jak twierdzi Uber — nie mieli dostępu do hashy haseł. ”
    Mnie to mało martwi. Bardziej mnie martwi, że Uber ma dane mojej karty kredytowej, która ma swoje limity na dzień, dość nisko je trzymam, plus jest to właśnie specjalna karta do płatności przez internet, z małym saldem, które ma 3D secure, o ile aplikacja obsługuje itp itd. Ale generalnie nie podoba mi się to jak Uber zareagował i co zrobił. Po roku?! Całe szczęście niedługo przyjdzie czas wymiany tej karty kredytowej na nową, bo bym bardziej panikował, a tak poprostu ściskam limit do dwucyfrowej kwoty na dzień w płatniościach internetowych i tylko przy potrzebie zwiększam (Netflix też musi pobrać kiedyś piniondz)

  9. Przechowywanie haseł na githubie – ło matko…

    • Wewnątrz kodu, np. jako zmienną do zalogowania się do SQLa z PHP to bardzo łatwy błąd do popełnienia.

      Do tego Github =/= publiczne repozytorium, GitHub ma też repozytoria prywatne i hosting dla firm.

  10. Zna ktoś stronkę z wykazem wycieków danych? Kojarzę, że była taka stronka gdzie podawałem maila, i był wykaz czy gdzieś ten email był w bazie z wyciekami.

  11. A może to ściema.bo pieniadze poszły na łapówki żeby uber mógł działać nielegalnie.i w ten sposób wymyślili zniknięcie tej kasy.

  12. Tak się kończy trzymanie ważnego kodu na jakichs tam githubach czy chmurach. Kiedy ludzie sie naucza ze takie wynalzki to sa dobre dla amatorow i studentow?

    • Tak samo jak i każde inne rozwiązanie trzymania kodu, bo prędzej czy później się okazuje, że albo nasz wewnętrzny system jednak nie był backupowany (bo się dysk gdzieś skończył albo VLAN rozkonfigurował), albo nie załataliśmy w porę dziury w jednym z 32734 pakietów i nasze dane poszły do pieca lub internetów.
      Jak tylko Agent zrozumie, że nie ma sposobów bezpiecznych, są tylko sposoby narażone na inne ryzyka, to sam przestanie być amatorem.

  13. A ja parę miesięcy temu miałem dziwną sytuację na “chińskim Uberze” czyli DiDi. Miałem potrzebę się tam zarejestrować, a kiedy już podałem wszelkie niezbędne dane i zalogowałem się na (jak myślałem) swoje konto okazało się, że jest ono zapisane na jakiegoś Chińczyka.

  14. Stallman znowu miał rację.

    https://stallman.org/uber.html

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: