De jongen zou toegangscodes hebben ‘gekregen’ van een Uber-medewerker, maar de inbreker wilde niet uitweiden over de manier waarop. Die zouden hem overigens geen toegang hebben verschaft tot het hart van het informatiesysteem van het bedrijf. Het systeem was beveiligd met een multifactoridentificatie (mfi). Hij zou gebruik hebben gemaakt van blunders van Uber in de beveiliging van het systeem.
Volgens de jonge e-kraker zou hij gebruik hebben gemaakt van een techniek die, vertaald, word aangeduid met mfi-moeheid. Om verbindingen te beveiligen gebruikt Uber pushmeldingen. Dat betekent als de gebruiker een melding ontvangt hemhaar gevraagd wordt toegang toe te staan van een apparaat dat verbinding probeert te maken met zijn profiel. De kraker overspoelde de medewerker een uur lang met meldingen om zijn waakzaamheid te verminderen.
Daar ging het mis. Het mfi-beveiligingssysteem detecteert dit soort misbruik niet. Ten onrechte. Dat profiel zou automatisch geblokkeerd moeten worden. De kraker nam via WhatsApp contact met de beheerder op, waarbij hij zich uitgaf voor een medewerker van de it-afdeling van Uber. Hij vertelde hem dat hij het verzoek om te stoppen moest accepteren. Daar werd direct gevolg aan gegeven.
Vervolgens kon de jonge kraker verbinding maken met het interne netwerk (intranet) van Uber, maar kon nog niet bij de gevoeliger informatie. Hij grasduinde wat rond en vond een gedeelde map met PowerShell-scripts met de gebruikersnaam en het wachtwoord voor toegangsbeheersysteem Thycotic. Fout nummer twee. Dat systeem beheert de toegang tot profielen met privileges en is de spin in het beveiligingssysteem van Uber-intranet. Daardoor kreeg de inbreker toegang tot domeinbeheer en andere plaatsen met gevoelige informatie.
‘Rukkers’
Van daaruit kon de hij de broncode van Uber binnenhalen, toegang krijgen tot databanken en viel hij ook medewerkers lastig. Hij blokkeerde hun toegang tot het web en/of zorgde hij voor een omleiding van alle pagina’s naar een pornografische afbeelding met de boodschap ‘F*** you wankers’ (=rukkers).
Hij kreeg toegang tot het interne Slack-communicatiesysteem van Uber, waar medewerkers erom bleven lachen, zelfs nadat hen werd verteld te stoppen met inloggen. Het bedrijf moest daarom de dienst tegelijk met alle andere interne instrumenten stopzetten om de omvang van de schade te beperken.
Tot op heden heeft Uber deze informatie niet bevestigd en heeft het zijn gebruikers nog geen verklaringen gestuurd. Het bedrijf liet het vrijdagavond bij een nogal beknopte verklaring dat alles werkt, dat de interne systemen weer functioneren en er contact is gezocht met de politie. Volgens Uber zou er geen bewijs zijn dat de kraker toegang had tot gevoelige gebruikersgegevens. Zou het nu erg moeilijk zijn om de identiteit van de jonge kraker te achterhalen?
Bron: Futura-Sciences