Una nueva violación de datos de las direcciones de correo electrónico de los empleados de Uber, documentos internos e información relacionada con su patrimonio de TI, específicamente su plataforma de gestión de dispositivos móviles (MDM), puede haberse originado a través de un incidente de terceros en la empresa de gestión de activos Teqtivity, según los informes.
Un usuario con el nombre de usuario “UberLeaks” comenzó a compartir el volcado de datos en un foro clandestino de hacking el sábado 10 de diciembre, según computadora pitido. Se cree que la fuga afecta a casi 80.000 empleados de la empresa
En una serie de publicaciones, el filtrador hizo una serie de referencias al grupo de delitos cibernéticos Lapsus$, que estuvo detrás de una serie de ataques de alto perfil a principios de 2022, y se cree que está detrás del ataque de septiembre a Uber. Hasta el momento no se ha probado ninguna conexión más firme.
computadora pitido también informó que se había pensado que el nuevo volcado de datos estaba relacionado con el incidente de septiembre, pero Uber había dicho que los archivos provenían del ataque a Teqtivity y no estaban relacionados con el ataque anterior.
Después de esto, en una notificación de incumplimiento el lunes 12 de diciembre, Teqtivity dijo: “Somos conscientes de que los datos de los clientes se vieron comprometidos debido al acceso no autorizado a nuestros sistemas por parte de un tercero malicioso. El tercero pudo obtener acceso a nuestro servidor de respaldo de Teqtivity AWS que albergaba el código de Teqtivity y los archivos de datos relacionados con los clientes de Teqtivity.
“Nuestra investigación está en curso, sin embargo, hemos notificado a los clientes afectados sobre el incidente y hemos tomado medidas para asegurar que la situación esté contenida y hemos evitado que este tipo de evento vuelva a ocurrir”.
La firma contrató a una firma forense cibernética externa para investigar sus registros y la configuración del servidor. También ha notificado a las fuerzas del orden público y está realizando pruebas de penetración en su entorno.
Teqtivity dijo que los datos que sabe que se han visto afectados comprenden información del dispositivo, como números de serie, marcas y modelos, y especificaciones técnicas, además de información del usuario, incluidos nombres y apellidos, direcciones de correo electrónico del trabajo y detalles de la ubicación del trabajo.
Dijo que no recopila ni retiene ningún dato personal, como domicilios, información bancaria o números de identificación del gobierno.
“Nos disculpamos sinceramente por cualquier inconveniente que esto pueda causar y lamentamos mucho que se haya producido esta situación”, dijo la firma. “Su confianza en nuestra capacidad para salvaguardar los datos de su empresa y su tranquilidad son muy importantes para nosotros”.
Teqtivity no reveló cuántos clientes además de Uber se vieron afectados por el incidente, ni más detalles sobre el ataque, aunque la redacción de su declaración apunta a la posibilidad de ransomware.
Ian McShane, vicepresidente de estrategia de Arctic Wolf, comentó: “En los últimos años, hemos visto que las empresas corren un mayor riesgo de ser el ‘objetivo’ o el ‘transporte’ que permite que otras organizaciones sean pirateadas. Con esta violación de datos, tal vez este tipo de ataque a la cadena de suministro se convierta en el diagrama de Venn donde los ataques a la cadena de suministro se encuentran con ataques dirigidos.
“Si esto es realmente una violación de MDM de terceros, y no fue solo por el robo de algunas credenciales/datos durante el incidente anterior de Uber, uno asume que hay otras compañías a punto de descubrir que sus datos se filtraron sin culpa de ellos mismos. No me sorprendería si viéramos más incidentes como este a medida que nos acercamos al Año Nuevo”.
McShane agregó que tales incidentes deberían recordar a los equipos de seguridad que deben tener visibilidad de los proveedores de sus organizaciones y tratar de minimizar la superposición y reducir el riesgo vigilando con qué proveedores de tecnología trabajan en sus entornos.
“La evaluación de riesgos del proveedor es un aspecto crítico de las operaciones de seguridad de cualquier organización y debe ser una prioridad para 2023”, dijo.
La arquitecta jefe y directora ejecutiva de ImmuniWeb, Ilia Kolochenko, dijo que dadas las probables inversiones de Uber en seguridad desde una violación de datos de 2016, que recientemente resultó en la condena penal de su ex oficial de seguridad Joe Sullivan, es probable que los terceros vulnerables resulten ser el “eslabón más débil”. ” para la firma.
“A pesar de todos los esfuerzos, controlar a sus proveedores externos es una tarea ardua y costosa que, a menudo, no cuenta con fondos suficientes ni prioridades en comparación con otros procesos de seguridad”, dijo Kolochenko. “Como era de esperar, los ciberdelincuentes pragmáticos golpean a la parte más vulnerable para extraer datos valiosos de Uber, que ahora pueden explotarse para realizar ataques más sofisticados”.
Si los informes sobre la naturaleza de los datos resultan precisos, Uber ahora correrá el riesgo de intentar obtener acceso a su arquitectura móvil, dijo Kolochenko, mientras que sus empleados pueden ser objeto de ataques avanzados de phishing o de difusión de contraseñas. Desde una perspectiva legal, el incidente también puede significar problemas para Uber, agregó.