Uber suspeita que Lapsus$, invasor do ConecteSUS, está por trás de ataque hacker

Grupo já teve como alvos Microsoft, Cisco, Samsung e Nvidia; empresa acredita que agentes compraram senha de funcionário na dark web

Giovanni Santa Rosa
Por
Logotipo da Uber

A Uber sofreu um ataque hacker na última quinta-feira (15). Inicialmente, os funcionários trataram a ação como uma piada, mas a situação, na verdade, está bem longe disso. Em um comunicado, a empresa apontou o grupo Lapsus$ como um dos prováveis culpados.

“Acreditamos que este agente (ou agentes) são ligados a um grupo hacker chamado Lapsus$, que vem aumentando sua atividade gradualmente desde o ano passado, mais ou menos”, diz o texto. “O grupo geralmente usa técnicas similares, tendo como alvo empresas de tecnologia. Somente em 2022, ele invadiu Microsoft, Cisco, Samsung, Nvidia e Okta, entre outros.”

Além dos ataques listados pela Uber, um episódio envolvendo o Lapsus$ foi notável para nós, brasileiros. No fim de 2021, os sistemas do Ministério da Saúde foram invadidos, o que impediu a emissão dos certificados de vacinação pelo aplicativo ConecteSUS. O grupo reivindicou a autoria do ataque.

A Uber diz trabalhar com empresas de investigação digital, o FBI e o Departamento de Justiça dos EUA para descobrir quem foram os responsáveis pela invasão.

Além disso, a empresa diz ter tomado algumas medidas em resposta ao ataque, como bloquear contas de funcionários que podem ter sido comprometidas, desativar ferramentas internas potencialmente afetadas, resetar o acesso a serviços internos e bloquear o acesso à base de códigos.

Funcionários da Uber acharam que era piada

A invasão aconteceu na quinta-feira (15). O atacante enviou uma mensagem no Slack da companhia. Os funcionários, porém, acharam que se tratava de alguma brincadeira e reagiram com emojis divertidos.

As primeiras informações mostram que o invasor conseguiu acessar o console da conta da Uber no Amazon Web Services (AWS), máquinas virtuais VMware ESXi e um painel do Google Workspace, entre outros.

Os serviços da Uber não foram comprometidos e continuaram a funcionar durante todo o tempo. A empresa também garante que informações pessoais dos usuários não foram obtidas, e reforça que dados de pagamento e de saúde são criptografados.

Porém, existe o risco de que o invasor tenha acessado informações sobre o programa HackerOne.

Este programa remunera pessoas que encontram problemas de segurança nas plataformas da Uber. Se o hacker conseguiu acesso a ele, pode ter encontrado informações sobre vulnerabilidades que ainda não foram corrigidas, colocando a empresa sob risco de mais ataques em um futuro próximo.

Segundo a Uber, a invasão aconteceu pela conta de um funcionário terceirizado. A empresa acredita que a senha foi comprada na dark web e obtida por meio de malware instalado no dispositivo pessoal do funcionário.

Em algum momento, esta pessoa aceitou um dos muitos pedidos de autorização do sistema de autenticação em dois fatores, abrindo caminho para o ataque. Este método de invasão, chamado Multi-Factor Authentication Bombing, é típico do Lapsus$.

Com informações: Uber.

Receba mais notícias do Tecnoblog na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Giovanni Santa Rosa

Giovanni Santa Rosa

Repórter

Giovanni Santa Rosa é formado em jornalismo pela ECA-USP e cobre ciência e tecnologia desde 2012. Foi editor-assistente do Gizmodo Brasil e escreveu para o UOL Tilt e para o Jornal da USP. Cobriu o Snapdragon Tech Summit, em Maui (EUA), o Fórum Internacional de Software Livre, em Porto Alegre (RS), e a Campus Party, em São Paulo (SP). Atualmente, é autor no Tecnoblog.

Canal Exclusivo

Relacionados