ข้อมูลของ Uber รั่วไหล หลังจากบริษัท Teqtivity ถูกโจมตี

Uber ออกมายืนยันถึงเหตุการณ์ข้อมูลของพนักงาน รายงานของบริษัท รวมถึงข้อมูลสินทรัพย์ไอที ได้รั่วไหลออกสู่สาธารณะ และถูกนำไปประกาศขายบนฟอรัมต่าง ๆ หลังจากการที่บริษัท third-party อย่าง Teqtivity ถูกโจมตี

โดยเมื่อวันเสาร์ที่ 10 ธันวาคมที่ผ่านมา กลุ่มผู้โจมตีที่ใช้ชื่อว่า 'UberLeaks' ได้เริ่มเผยแพร่ข้อมูลที่อ้างว่าขโมยมาจาก Uber และ Uber Eats บนฟอรัมสำหรับการขายข้อมูล

ข้อมูลส่วนใหญ่ถูกอ้างว่าเป็นซอร์สโค้ดที่เกี่ยวข้องกับแพลตฟอร์มการจัดการอุปกรณ์เคลื่อนที่ (MDM) ที่ใช้โดย Uber และ Uber Eats และบริการจากบริษัท third-party โดยผู้โจมตีแยกข้อมูลออกเป็น 4 ส่วนประกอบไปด้วย Uber MDM จาก uberhub.uberinternal.com, Uber Eats MDM และแพลตฟอร์ม third-party อย่าง Teqtivity MDM และ TripActions MDM

โดยข้อมูลในฟอรัมมีการอ้างอิงถึงสมาชิกของกลุ่ม Lapsus$ ซึ่งเชื่อว่าเป็นผู้รับผิดชอบการโจมตีหลายครั้ง รวมถึงการโจมตี Uber ในเดือนกันยายนที่ผ่านมา ซึ่งกลุ่ม Lapsus$ อ้างว่าสามารถเข้าถึงเครือข่ายภายใน และเซิร์ฟเวอร์ Slack ของบริษัทได้

โดย BleepingComputer ได้รับแจ้งว่าข้อมูลที่รั่วไหลออกมารวมไปถึง

  • ซอร์สโค้ด
  • รายงานการจัดการสินทรัพย์ไอที (IT asset management)
  • รายงานการทำลายข้อมูล (data destruction)
  • อีเมล และข้อมูล Windows Active Directory ของพนักงาน Uber ประมาณ 77,000 ราย
  • ข้อมูลภายในอื่น ๆ

ในช่วงแรก BleepingComputer คาดว่าข้อมูลดังกล่าวมาจากการโจมตี Uber ในเดือนกันยายนที่ผ่านมา แต่ Uber ยืนยันกับ BleepingComputer ว่าข้อมูลดังกล่าวมาจากการถูกโจมตีของบริษัท third-party และไม่เกี่ยวข้องกับข้อมูลจากการถูกโจมตีของ Uber เมื่อเดือนกันยายนที่ผ่านมา

Uber อ้างว่าข้อมูลถูกขโมยจากการถูกโจมตีของ Teqtivity

โดย Uber ยืนยันว่าข้อมูลที่ผู้โจมตีขโมยออกมาได้มาจากบริษัท third-party อย่าง Teqtivity ซึ่งเป็นบริการสำหรับ asset management และ tracking services ซึ่งทาง Teqtivity พึ่งออกมายอมรับถึงการถูกโจมตี AWS backup server ซึ่งมีข้อมูลของลูกค้าอยู่ เมื่อวันที่ 12 ธันวาคม ที่ผ่านมา ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลของบริษัทที่ใช้แพลตฟอร์มของ Teqtivity ได้ และซอร์สโค้ดที่ถูกประกาศขายบนฟอรัมนั้นก็ถูกสร้างขึ้นโดย Teqtivity เพื่อจัดการบริการของ Uber ซึ่งมีบริการหลายอย่างร่วมกัน

นอกจากนี้ Uber ยังย้ำด้วยว่ากลุ่ม Lapsus$ ไม่เกี่ยวข้องกับการโจมตีครั้งนี้ แม้ว่าโพสต์ในฟอรัมจะอ้างถึงหนึ่งในผู้โจมตีที่เกี่ยวข้องกับกลุ่มก็ตาม ส่วนที่โพสต์ในฟอรัมระบุว่ามีข้อมูลของ uberinternal.com แต่ Uber ก็ยืนยันว่าไม่พบพฤติกรรมผิดปกติบนระบบ

Uber ระบุเพิ่มเติมว่า Teqtivity ยังคงดำเนินการตรวจสอบเพิ่มเติมอยู่ แต่ยืนยันว่าข้อมูลรั่วไหลที่พบจนถึงตอนนี้มาจากระบบของบริษัท Teqtivity เท่านั้น และจนถึงวันนี้ยังไม่พบพฤติกรรมผิดปกติบนระบบภายในของ Uber

ส่วนบริษัท TripActions ระบุกับ BleepingComputer ว่า ไม่พบว่ามีข้อมูลของ TripActions รั่วไหลจากการโจมตี Teqtivity ในครั้งนี้

คำแนะนำ

  • ระมัดระวังการเปิดไฟล์แนบทาง Email ไม่ควรเปิดไฟล์หากไม่ทราบที่มาของ Email
  • ไม่ควรดาวน์โหลดไฟล์จากแหล่งที่มาที่ไม่รู้จัก หรือไม่น่าเชื่อถือ
  • จัด awareness training เพื่อให้ความรู้เกี่ยวกับภัยคุกคามต่าง ๆ แก่พนักงานภายในองค์กร

 

ที่มา : bleepingcomputer