O hack do Uber é um conto ultrajante de um adolescente hackeando por diversão
A Uber sofreu uma grave violação de seu sistema no início deste mês, permitindo que o malfeitor causasse todo tipo de estrago – desde enviar spam aos bate-papos do funcionário do Slack com imagens explícitas até desfigurar os sites internos e roubar mídia sensível. A empresa de compartilhamento de caronas divulgou uma declaração atualizada, colocando a culpa no infame grupo de hackers Lapsus$.
O ataque e o anúncio subsequente foram tão descarados que alguns funcionários interpretaram como uma piada de um de seus colegas e responderam à mensagem do hacker com emojis alegres. O hacker revelou ao The New York Times que ele era um jovem de 18 anos. Para esfregar ainda mais sal nas feridas do Uber, o cibercriminoso disse ao The Washington Post que violou os sistemas da empresa por diversão e pode vazar o código-fonte nos próximos meses.
Poste onde o vazador se vincula diretamente ao hack do Uber. Eu removi todas as capturas de tela do acesso ao sistema (com as quais você pode se familiarizar em incidentes no início deste ano). pic.twitter.com/gvmkcsy5OL
— Kevin Beaumont (@GossiTheDog) 18 de setembro de 2022
O hacker em questão, que atende pelo apelido de “teapotuberhacker”, também é considerado o cérebro por trás do enorme vazamento de GTA 6 que apareceu alguns dias atrás e abalou toda a indústria de videogames. O hacker alega ter roubado material sensível como códigos-fonte de jogos dos sistemas da Rockstar, mas no caso do Uber, a empresa afirma que nada de magnitude tão grave aconteceu.
Curiosamente, os jovens hackers parecem ter um tipo especial de afinidade com o Uber . Em 2017, um jovem da Flórida de 20 anos supostamente roubou dados pessoais de 57 milhões de usuários do Uber, mas a empresa aproveitou a violação e só divulgou um ano depois.
Lapsus$, ou apenas adolescentes criando o inferno?
A Uber diz que está atualmente em contato com o FBI e o Departamento de Justiça dos EUA para lidar com a situação. Curiosamente, o FBI emitiu recentemente um comunicado pedindo ajuda pública para prender membros do notório grupo. O pedido veio na sequência de violações de segurança de alto perfil visando titãs da tecnologia dos EUA como T-Mobile, Microsoft e Nvidia, entre outros.
Acredita-se que os membros do grupo incluam um grupo saudável de adolescentes, conforme especialistas citados em um relatório publicado pelo The Washington Post . De acordo com uma reportagem da BBC , uma dupla de 16 e 17 anos foi acusada após uma investigação internacional em busca de incidentes de crimes cibernéticos. Antes disso, o departamento de polícia de Londres havia prendido sete encrenqueiros com idades entre 16 e 21 anos por crimes cibernéticos adjacentes ao Lapsus$ semelhantes.
De acordo com uma reportagem da Bloomberg , o jovem de 16 anos teria sido o mentor das atividades do grupo Lapsus$ e, apesar de morar no apartamento de sua mãe, eles conseguiram acumular uma fortuna no valor de cerca de US$ 14 milhões. No passado, a gangue também tinha como alvo Samsung, EA, Ubisoft, Vodafone e Okta, entre outros nomes reconhecíveis.
O grupo ganhou ampla atenção internacional depois de roubar os registros de vacinação COVID-19 de milhões de cidadãos dos sistemas do Ministério da Saúde do Brasil. Além de roubar dados confidenciais, o grupo esteve envolvido em vandalismo cibernético e desfiguração de sites. Especialistas disseram à Forbes que o grupo recentemente projetou um ataque DNS que redirecionava os visitantes dos sites alvo para sites pornográficos.
O que exatamente aconteceu no Uber?
O hacker Uber anunciou sua conquista de uma forma bastante épica. De acordo com as capturas de tela que circulam nas mídias sociais, o mau ator postou uma mensagem no grupo Slack de funcionários alegando: “Sou um hacker e o uber sofreu uma violação de dados”. A parte mal-intencionada começou a baixar mensagens do Slack juntamente com detalhes de uma ferramenta interna usada para gerenciar faturas.
Honestamente, uma maneira elegante de hackear alguém @Uber pic.twitter.com/fFUA5xb3wv
— Colton (@ColtonSeal) 16 de setembro de 2022
Dias após o incidente ter sido relatado pela primeira vez, a Uber agora esclareceu que quaisquer informações confidenciais do usuário, como detalhes da conta, histórico de viagens, números de contas bancárias e detalhes do cartão de crédito, não foram roubadas. Além disso, quaisquer vulnerabilidades e bugs que foram coletados no painel HackerOne da Uber foram corrigidos. Contas de funcionários comprometidas que abriram caminho para um suposto hack de engenharia social foram bloqueadas ou tiveram suas credenciais redefinidas.
Para garantir que nenhum outro dano seja causado, a Uber também bloqueou a base de código da plataforma e congelou quaisquer outros envios, ao mesmo tempo em que iniciou uma política de rotação de chave de acesso para seus sistemas internos. A Uber diz que está atualmente trabalhando com “várias empresas líderes em perícia digital” para investigar o incidente de segurança.