Uber suspeita que Lapsus$, invasor do ConecteSUS, está por trás de ataque hacker

Grupo já teve como alvos Microsoft, Cisco, Samsung e Nvidia; empresa acredita que agentes compraram senha de funcionário na dark web

Giovanni Santa Rosa
Por

A Uber sofreu um ataque hacker na última quinta-feira (15). Inicialmente, os funcionários trataram a ação como uma piada, mas a situação, na verdade, está bem longe disso. Em um comunicado, a empresa apontou o grupo Lapsus$ como um dos prováveis culpados.

Logotipo da Uber
Uber (Imagem: Vitor Pádua / Tecnoblog)

“Acreditamos que este agente (ou agentes) são ligados a um grupo hacker chamado Lapsus$, que vem aumentando sua atividade gradualmente desde o ano passado, mais ou menos”, diz o texto. “O grupo geralmente usa técnicas similares, tendo como alvo empresas de tecnologia. Somente em 2022, ele invadiu Microsoft, Cisco, Samsung, Nvidia e Okta, entre outros.”

Além dos ataques listados pela Uber, um episódio envolvendo o Lapsus$ foi notável para nós, brasileiros. No fim de 2021, os sistemas do Ministério da Saúde foram invadidos, o que impediu a emissão dos certificados de vacinação pelo aplicativo ConecteSUS. O grupo reivindicou a autoria do ataque.

A Uber diz trabalhar com empresas de investigação digital, o FBI e o Departamento de Justiça dos EUA para descobrir quem foram os responsáveis pela invasão.

Além disso, a empresa diz ter tomado algumas medidas em resposta ao ataque, como bloquear contas de funcionários que podem ter sido comprometidas, desativar ferramentas internas potencialmente afetadas, resetar o acesso a serviços internos e bloquear o acesso à base de códigos.

Funcionários da Uber acharam que era piada

A invasão aconteceu na quinta-feira (15). O atacante enviou uma mensagem no Slack da companhia. Os funcionários, porém, acharam que se tratava de alguma brincadeira e reagiram com emojis divertidos.

As primeiras informações mostram que o invasor conseguiu acessar o console da conta da Uber no Amazon Web Services (AWS), máquinas virtuais VMware ESXi e um painel do Google Workspace, entre outros.

Os serviços da Uber não foram comprometidos e continuaram a funcionar durante todo o tempo. A empresa também garante que informações pessoais dos usuários não foram obtidas, e reforça que dados de pagamento e de saúde são criptografados.

Porém, existe o risco de que o invasor tenha acessado informações sobre o programa HackerOne.

Este programa remunera pessoas que encontram problemas de segurança nas plataformas da Uber. Se o hacker conseguiu acesso a ele, pode ter encontrado informações sobre vulnerabilidades que ainda não foram corrigidas, colocando a empresa sob risco de mais ataques em um futuro próximo.

Segundo a Uber, a invasão aconteceu pela conta de um funcionário terceirizado. A empresa acredita que a senha foi comprada na dark web e obtida por meio de malware instalado no dispositivo pessoal do funcionário.

Em algum momento, esta pessoa aceitou um dos muitos pedidos de autorização do sistema de autenticação em dois fatores, abrindo caminho para o ataque. Este método de invasão, chamado Multi-Factor Authentication Bombing, é típico do Lapsus$.

Com informações: Uber.