ฟอรัมแฮ็คมีสี่หัวข้อใหม่ที่เชื่อว่ามีข้อมูลองค์กรรั่วไหลจาก Uber และ Uber Eats เมื่อเร็ว ๆ นี้
บริษัทยืนยันการรั่วไหล โดยบอก BleepingComputer (เปิดในแท็บใหม่) ว่าข้อมูล รวมถึงซอร์สโค้ดของแพลตฟอร์มการจัดการอุปกรณ์เคลื่อนที่ (MDM) รายงานการจัดการสินทรัพย์ด้านไอที การทำลายข้อมูล ข้อมูล Windows Active Directory ที่อยู่อีเมล และ "องค์กรอื่นๆ ข้อมูล" ถูกขโมยผ่านการละเมิด (เปิดในแท็บใหม่) บนเซิร์ฟเวอร์ Amazon Web Services (AWS) ของบริษัทซึ่งเป็นเจ้าของบริการจัดการสินทรัพย์และติดตาม Teqtivity
ยังไม่ทราบขอบเขตที่แท้จริงของการละเมิด แต่เอกสารเดียวที่เห็นโดย BleepingComputer เต็มไปด้วยข้อมูลจากพนักงานมากกว่า 77,000 คน แม้ว่านักวิจัยด้านความปลอดภัยจะยืนยันว่าการละเมิดเฉพาะนี้ไม่ควรส่งผลกระทบต่อลูกค้า
ปัญหาด้านความปลอดภัยของอูเบอร์
เหตุการณ์นี้เป็นการละเมิดครั้งที่สามที่ทำให้ข้อมูลส่วนบุคคลรั่วไหลจาก Uber ในช่วงไม่กี่ปีที่ผ่านมา
ในเดือนกรกฎาคม 2022 LaComparacion Pro รายงานว่า Uber สารภาพว่าปกปิดการละเมิดข้อมูล "สำคัญ" ที่เกิดขึ้นในปี 2016 ซึ่งทำให้ข้อมูลลูกค้ารวมถึงรหัสผ่านรั่วไหลทางออนไลน์ทำให้เสี่ยงต่อการถูกล่วงละเมิด แย่งชิงตัวตน
อย่างไรก็ตาม การรั่วไหลนี้ถูกค้นพบก่อนหน้านี้มาก ส่งผลให้ถูกปรับ 385,000 ยูโรจากสำนักงานคณะกรรมาธิการสารสนเทศแห่งสหราชอาณาจักร (ICO) ในปี 2018
ในเดือนกันยายน 2022 บริษัทยืนยันว่ามีการละเมิดข้อมูลอีกครั้งที่ส่งผลกระทบต่อลูกค้าในเดือนนั้น ซึ่งเกิดขึ้นได้จากช่องโหว่ในอุปกรณ์ปลายทางที่สำคัญ เขายอมรับในภายหลังว่ากลุ่มแฮ็กเกอร์ Lapsus€ ได้เข้าถึงแดชบอร์ด HackerOne ของเขา ซึ่งให้ข้อมูลเกี่ยวกับความปลอดภัยทางดิจิทัลขององค์กร
โพสต์ฟอรัมที่เกี่ยวข้องกับการละเมิดในเดือนธันวาคมอ้างถึงสมาชิก Lapsus€ อย่างน้อยหนึ่งคน อย่างไรก็ตาม Uber ยืนยันว่าการละเมิดในเดือนกันยายนและธันวาคมไม่เกี่ยวข้องกัน
"เราเชื่อว่าไฟล์เหล่านี้เกี่ยวข้องกับเหตุการณ์ที่ผู้ให้บริการบุคคลที่สามและไม่เกี่ยวข้องกับเหตุการณ์ด้านความปลอดภัยของเราในเดือนกันยายน จากการตรวจสอบข้อมูลที่มีอยู่เบื้องต้นของเรา รหัสดังกล่าวไม่เกี่ยวข้องกับ Uber อย่างไรก็ตาม เรากำลังดำเนินการตรวจสอบต่อไป ปัญหานี้" เขากล่าว แม้ว่าเขาจะไม่เห็นกิจกรรมที่เป็นอันตรายหรือผิดปกติใดๆ ในระบบของเขาเอง
อย่างไรก็ตาม การละเมิดครั้งล่าสุดทำให้เกิดความกังวลเกี่ยวกับการพึ่งพาบริการคลาวด์อย่างต่อเนื่องที่นำเสนอโดยบริษัทจำนวนจำกัด เช่น Amazon แม้ว่าจะมีความกังวลด้านความปลอดภัยและการหยุดทำงานก็ตาม
พนักงาน Uber ได้รับคำแนะนำให้ระมัดระวังอย่างยิ่งต่อการหลอกลวงทางวิศวกรรมสังคม เช่น การโจมตีแบบฟิชชิง โดยผู้ประสงค์ร้ายที่พยายามใช้ประโยชน์จากการละเมิด