آیا اوبر هک شده است؟ حادثه امنیت سایبری در دست بررسی است

به گزارش پیوست، به نقل از CNBC، اوبر طی بیانیه‌ای در توییتر گفت: «ما در حال واکنش به یک حادثه‌ امنیت‌ سایبری هستیم، با مجریان قانون در تماسیم و خبرهای تازه در اسرع وقت اطلاع‌رسانی می‌شود.»

گزارشی که نیویورک‌تایمز بر اساس ارتباط مستقیم با هکر منتشر کرده است نشان می‌دهد هکر پس از نفوذ به حساب اسلک (Slack) یکی از کارکنان اوبر، کنترل سیستم‌های داخلی اوبر را به دست گرفته است. اسلک خدمتی برای ارسال پیام در محل کار است و بسیاری از شرکت‌های تکنولوژی و استارت‌آپ‌ها برای ارتباطات روزمره خود از آن استفاده می‌کنند. اوبر در حال حاضر اسلک را غیرفعال کرده است.

در پی انتشار خبر هک، سهام شرکت اوبر روز جمعه پنج درصد ریزش کرد.

بنا بر گزارش تایمز، هکر پس از نفوذ به سیستم اسلک با حمله مهندسی اجتماعی، به سراغ دیگر پایگاه‌های داده این شرکت رفته است. هکر در یکی از پیغام‌های اسلک گفته است: «اعلام می‌کنم هکر هستم و اوبر دچار نشت اطلاعات شده است.»

بر اساس گزارش دیگری از واشنگتن پست، هکر برای سرگرمی به اوبر نفوذ کرده و می‌تواند طی چند ماه کد منبع (Source Code) این شرکت را منتشر کند.

در این گزارش آمده است، کارکنان اوبر ابتدا پیغام حمله را شوخی تلقی کردند و با گیف و ایموجی به پیام هکر پاسخ دادند.

اسکرین‌شات‌های منتشرشده در توییتر نیز نشان می‌دهد هکر توانسته به حساب‌های اوبر در AWS و گوگل کلاود نفوذ کند و به داده‌های مالی شرکت دسترسی یابد.

با اینکه هنوز اطلاعاتی از چگونگی نفوذ به سیستم‌های اوبر در دست نیست، اما محققان امنیت سایبری می‌گویند طبق گزارش‌های اولیه به نظر می‌رسد هکر از تکنیک‌های پیچیده‌ مهندسی اجتماعی برای هک استفاده کرده است. در این روش، از بی‌تجربگی و زودباوری مردم برای دسترسی به داده‌های حساس استفاده می‌شود.

ایان مک‌شین، مسئول استراتژی شرکت امنیت سایبری ارکتیک ولف، می‌گوید: «حمله سطح پایینی را شاهد هستیم. اگر مقدار نفوذی که ادعا شده واقعی باشد، عجیب است که هکر درخواست باج و اخاذی نکرده و به نظر تنها برای خنده انجام شده است.»

مک‌شین ادامه می‌دهد: «بار دیگر ثابت شد که گاهی ضعیف‌ترین حلقه امنیت شما همان انسان‌ها هستند.»

سمر کری، که خود را «جایزه بگیر جوینده باگ» معرفی کرده، می‌گوید با هکر اوبر ارتباط برقرار کرده و مدعی است کارمند هدف این حمله در پاسخ به حادثه دخیل بوده است. کری می‌گوید این موضوع به این معناست که هکر «از همان ابتدا دسترسی زیادی داشته است». شرکت‌ها در ازای شناسایی باگ یا نقطه‌ضعف نرم‌افزاری، پاداشی را برای افراد در نظر می‌گیرند و در نتیجه بسیاری هم به عنوان جایزه‌بگیر در این حوزه فعالیت دارند.

او اضافه می‌کند: «از نظر من، هکر به فایلی دسترسی پیدا کرده که مجوز ورود به همه جا را در اختیارش گذاشته است.» کری به عنوان یک مهندس امنیتی با استارت‌آپ یوگا لبز همکاری می‌کند و می‌گوید از طریق تلگرام با هکر صحبت کرده است.

اخبار این حمله در حالی منتشر شده که جوئی سالیوان، رئیس سابق امنیت اوبر، به دلیل حادثه‌ای در سال ۲۰۱۶ که باعث درز اطلاعات ۵۷ میلیون کاربر و راننده اوبر شد تحت محاکمه است. این شرکت در سال ۲۰۱۷ به پنهان کردن حمله اعتراف و سال بعد در توافقی با ۵۰ ایالت آمریکا و واشنگتن به پرداخت ۱۴۸ میلیون دلار غرامت رضایت داد.

پس از خروج ترویس کالانیک، مدیرعامل سابق و بنیان‌گذار اوبر، این شرکت از سال ۲۰۱۷ در تلاش است تصویر بهتری از خود به نمایش بگذارد. با این حال رسوایی‌ها و جنجال‌های دوران ریاست کالانیک دست از سر آنها برنمی‌دارند.

روزنامه گاردین در ماه جولای گزارشی از درز هزاران سندی را منتشر کرد که جزئیاتی از نحوه ورود اوبر به شهر‌های مختلف جهان را، حتی به‌ واسطه قانون‌شکنی، به تصویر می‌کشد. در یکی از این موارد،‌ ترویس کالانیک پس از مواجهه با مدیران دیگری که نگران امنیت رانندگان معترض در فرانسه هستند می‌گوید: «خشونت تضمین موفقیت است.»

اوبر در پاسخ به گزارش گاردین گفت، حوادث مربوط به «رفتارهای گذشته با ارزش‌های امروز ما همخوانی ندارد».

منبع: CNBC