استمع إلى المقال

أقرّت أوبر، بعد أربعة أيام من تعرضها لخرقٍ أمني كبير، بأن مهاجمها قد تمكن من الوصول إلى “عدة أنظمة داخلية” بما في ذلك حساب مساحة عمل جوجل “G Suite” الخاصة بالشركة ، وتنزيل رسائل “سلاك” (Slack) الداخلية والأداة التي يستخدمها قسم الشؤون المالية لإدارة “بعض” الفواتير. وتعتقد إدارة تطبيق طلب سيارات الأجرة توصيل الطعام الشهير أن شخصًا مرتبطًا بعصابة “Lapsus$” كان وراء هذا الهجوم.

تفاصيل تؤكد الشائعات

في تحديثٍ أمني نُشر أمس الإثنين، أكدت شركة أوبر أن المتسلل وصل إلى لوحة معلومات “HackerOne” الخاصة بالكشف عن الثغرات والأخطاء. وزعمت أنه “ومع ذلك، فإن أي أخطاء وثغرات تمكن المهاجم من الوصول إلى الأنظمة من خلالها قد تم إصلاحها”.

قالت أوبر أيضًا إنها تعتقد أن الشخص الذي اخترق خوادم شركة “روكستار” (Rockstar) لألعاب الفيديو وسرق بيانات سرية للعبةـ “Grand Theft Auto 6” الشهيرة هو نفس الشخص الذي اخترق شبكتها الخاصة.

ومنذ خرق أوبر، الذي حدث يوم الخميس الماضي، كان صانعوا التطبيق متحفظين في تقديم الكثير من التفاصيل حول ماهية البيانات التي سُرقت، مما ترك المستخدمين تائهين يجمعون الشذرات معًا من تغريدات الباحثين الأمنيين وتقارير وسائل الإعلام.

لكن ظهر من لقطات الشاشة المسربة أن المتسلل دخل إلى حساب “خدمات ويب أمازون” الخاص بأوبر ولوحة معلومات الأمان على “SentinelOne” ولوحة التحكم على “VMware vSphere” وأجزاء مهمة أخرى من البنية التحتية التكنولوجية الخاصة بالشركة. وقيل أيضًا أن المتسلل تمكنوا من الوصول إلى كود المصدر الخاص بالتطبيق والوثائق الداخلية والمزيد.

وفي يوم الجمعة التالي ليوم الاختراق، قال المتسلل -الذي قيل إنه يبلغ من العمر 18 عامًا– إنه اقتحم أوبر من أجل المتعة فقط، وقد ينشر أجزاءً من كود المصدر الخاص بالتطبيق، كما وصف أمن الشركة بأنه “بالغ السوء”.

في التحديث الأمني ​​الذي نشرته الشركة مؤخرًا، قالت أوبر إن المهاجم لم يُجرِ أي تغييرات على قاعدة بيانات التطبيق البرمجية، ولم تعثر الشركة على أي دليل على أن المتسلل قد وصل إلى أي عميل أو سائق أو بيانات مستخدم أخرى، بما في ذلك المعلومات الشخصية والحساسة.

ولا يزال التحقيق مستمرًا، على الرغم من أنه وفقًا لأوبر “لا يبدو أيضًا أن المتسلل قد تمكن من الوصول إلى “أنظمة الإنتاج (أي الواجهات التي يتعامل معها العملاء) التي تشغل تطبيقاتنا، أو أي حسابات للمستخدمين، أو قواعد البيانات التي نستخدمها لتخزين معلومات المستخدم الحساسة؛ مثل أرقام بطاقات الائتمان أو معلومات الحساب المصرفي للمستخدم أو سجل الرحلة”.

بالإضافة إلى ذلك، كررت الشركة، في تحديثها الأمني، تصريحاتها التي أدلت بها يوم الجمعة بأن جميع خدماتها، أي “أوبر” و”أوبر إيتس” و”أوبر فرايت” التي تواجه الجمهور ظلت تعمل خلال الحادث. الأمر الذي سيجعل ملّاك أسهم الشركة سعداء.

قد يهمّك: بينهم مايكروسوفت و Okta: مجموعة الابتزاز $LAPSUS تركت أثرها على العديد من الضحايا 

الاختراق السهل الممتنع

أشار التحديث الأمني​ أيضًا بأصبع الاتهام إلى تورط موظف ربما تم بيع بيانات اعتماد تسجيل الدخول الخاصة به على شبكة الإنترنت المظلمة (الدارك ويب) بعد أن تم سحب التفاصيل من “أجهزته الشخصية” -الكمبيوتر أو الهاتف- عبر البرامج الضارة.

وزعمت أوبر أن “المهاجم حاول مرارًا تسجيل الدخول إلى حساب ذلك الموظف في أوبر. وفي كل مرة، تلقى الموظف طلبًا للموافقة على “المصادقة الثنائية” لتسجيل الدخول، مما أدى في البداية إلى منع وصول المتسللين. ومع ذلك، في النهاية، وافق الموظف على ذلك، ونجح المتسللون بتسجيل الدخول”.

ويبدو أن هذا تكتيكًا شائعًا يستخدمه الأشخاص الصغار: إمطار المستخدم بطلبات متعددة للمصادقة متعددة العوامل حتى يفترض أنه خلل ويضغط على “نعم” للتخلص من إشعارات البريد العشوائي، وعند هذه النقطة يدخل المحتال الذي يحاول تسجيل الدخول.

ويبدو أن هذا يؤكد أيضًا ادعاءات مراقب الأمن السيبراني “كوربِن ليو” الأسبوع الماضي عندما قال في تغريدةٍ إنه تحدث إلى المتسلل الذي أخبره أنه تمكنوا من الوصول إلى الشبكة الافتراضية الخاصة بأوبر بعد تطبيق مبادئ الهندسة الاجتماعية على أحد العاملين فيها.

بعد تمكّن المتسلل من تسجيل الدخول، اخترق حسابات الموظفين الآخرين، مما سمح له برفع صلاحياته والوصول إلى لوحات التحكم ولوحات المعلومات. ومن هناك، نشر المهاجم رسالةً إلى إحدى قنوات “سلاك” على مستوى الشركة وأعاد تكوين نطاق “OpenDNS” الخاص بـأوبر، وفقًا للشركة. كما ترافق ذلك مع أشياء أخرى فعلها المتسلل؛ مثل تفاخره باختراقه أوبر ونشر ذلك على قنوات “سلاك” الخاص بشركته، وإعادة تكوين إعدادات الشبكة بحيث يؤدي فتح صفحات الويب عبر شبكة أوبر الافتراضية الخاصة إلى نقل عامليها إلى صفحة بها صورة فاضحة وإساءة لفظية.

ولا يوجد ذكر من قبل أوبر لعثور المتسلل على ملف “باور شيل” (PowerShell) على الشبكة يحتوي على بيانات اعتماد حساب المسؤول، كما ادعى الأسبوع الماضي.

إجراءات مضادة

رداً على ذلك، قالت إدارة تطبيق مشاركة الرحلات إنها حددت وحظرت حسابات الموظفين المخترقة والمحتمل أن تكون مخترقة، وعطّلت الأدوات الداخلية المتأثرة ومفاتيح الوصول المتناوبة إلى العديد من الخدمات السحابية، وأغلقت قاعدة الرموز الخاصة بها، واتخذ خطوات لـ “زيادة تعزيز” المصادقة متعددة العوامل لديها.

وجاء في التحديث الأمني ​​”نحن في تنسيق وثيق مع مكتب التحقيقات الفدرالي ووزارة العدل الأمريكية بشأن هذه المسألة وسنواصل دعم جهودهما”.

قد يهمّك أيضًا: تكاليف خروقات البيانات في الشرق الأوسط تبلغ ذروتها تاريخيًا هذا العام.. ولا خطوات جادة

تاريخٌ من الاختراقات

يُذكر أن أوبر تعرضت لخرقٍ كبير في عام 2016 وحاول إدارة الشركة التستر عليه، بحسب ما زُعم. وشهد هذا الفشل الذريع تسريب معلومات شخصية لـ 57 مليون سائق وعميل.

وعلى خلفية ذلك، يواجه رئيس الأمن السابق في أوبر، “جو سوليفان”، تهماً جنائية بسبب تعامله مع ذلك الانتهاك. كما أن هناك تسويةٌ ذات صلة من لجنة التجارة الفيدرالية الأمريكية تطالب الشركة يإخطار الهيئة الرقابية بأي خطأ أمني يتعلق بمعلومات السائقين والركاب وتقديم تأكيدات حول كيفية حدوث ذلك بما يضمن حماية أمن وخصوصية المعلومات الشخصية.

ويُظهر الحادث الأمني ​​الذي وقع الأسبوع الماضي أن ضمانات أوبر للأمان والخصوصية لا ترقى إلى المستوى المطلوب، إذ أن خرق أوبر الأخير “هو نتيجة متوقعة” لاختياراتها كشركة لا تلقي بالاً لحماية عملائها، ولا موظفيها على أقل تقدير.