Uber ha sido víctima de una nueva filtración de datos después de que un ciberdelincuente haya publicado las direcciones de correo electrónico de empleados, informes corporativos e información de activos de TI. Informaciones que se habrían robado a un proveedor externo en un incidente de ciberseguridad, Teqtivity.

Todo comenzó el pasado sábado cuando un actor de amenazas llamado ‘UberLeaks’ empezó a filtrar datos en un conocido foro de piratería y que afirmaba que se habían robado a Uber y Uber Eats.

Los datos filtrados incluían numerosos archivos que, según apuntaba, eran del código fuente de plataformas de gestión de dispositivos móviles (MDM) utilizadas por Uber y Uber Eats, así como de servicios de proveedores externos.

Para ello creó cuatro temas separados, supuestamente para Uber MDM en uberhub.uberinternal.com y Uber Eats MDM, y las plataformas de terceros Teqtivity MDM y TripActions MDM.

Cada publicación se referiría a un miembro del grupo de piratería Lapsus$ que se cree que es responsable de numerosos ataques de perfil alto, incluido el ciberataque que Uber sufrió el pasado mes de septiembre y en el que los ciberdelincuentes obtuvieron acceso a la red interna y al servidor Slack de la empresa.

Estos nuevos datos ahora filtrados son código fuente, informes de gestión de activos de TI, nombres de inicio de sesión y direcciones de correo electrónico de dominio de Windows, así como otras informaciones corporativas.

Según los documentos a los que ha tenido acceso BleepingComputer se incluyen direcciones de correo electrónico e información de Windows Active Directory de más de 77.000 empleados de Uber.

La criticidad de los datos de Uber

Aunque inicialmente se pensó que se trataba de una filtración relacionada con los datos que se robaron en el ciberataque que la compañía sufrió en septiembre, desde Uber cree que está relacionada con la violación de seguridad de un proveedor externo.

Este proveedor sería Teqtivity, compañía que ofrece servicios de gestión y seguimiento de activos para la empresa.

Los investigadores de seguridad que analizaron la filtración apuntan que los datos filtrados están relacionados con información corporativa interna de Uber y no incluyen datos de ninguno de sus clientes.

uber filtración de datos ciberataque proveedor externo foro piratería noticia bit life media
Foro en el que se ha publicado la información robada a Uber. Fuente: BleepingComputer

Sin embargo, los datos filtrados contienen suficiente información detallada para realizar ataques de phishing dirigidos a los empleados de Uber para captar información más confidencial, como las credenciales de inicio de sesión.

Esto conlleva que todos los empleados de la compañía extremen las precauciones y estén muy atentos a los correos electrónicos de phishing que pueden recibir haciéndose pasar por soporte de TI de Uber. Es clave que confirmen toda la información directamente con los administradores de TI antes de responder a correos electrónicos sospechosos de ser ilegítimos.

La importancia de la seguridad de proveedores externos

Uber ha comunicado que los ciberdelincuentes que robaron sus datos lo hicieron en una brecha reciente en Teqtivity, uno de sus proveedores externos.

Esta brecha habría sido aprovechada por un actor de amenazas que consiguió tener acceso a un servidor de respaldo de Teqtivity AWS que almacena datos para sus clientes. De esta forma, el ciberdelincuente accedió a la información de las empresas que hacen uso de esta plataforma.

Con ello consiguió hacerse con información del dispositivo, como número de serie, marca, modelos y especificaciones técnicas; así como con información del usuario como nombre, apellido, dirección de correo electrónico del trabajo y detalles de la ubicación del trabajo.

Según ha comunicado Uber, el código fuente filtrado en el foro de piratería este fin de semana fue creado por Teqtivity para gestionar sus servicios. Además, también ha reiterado que el grupo Lapsus$ no estaba relacionado con esta infracción, aunque las publicaciones del foro hacen referencia a uno de los actores de amenazas asociados con el grupo.

No obstante, si bien las publicaciones del foro afirman que accedieron a ‘uberinternal.com’, la compañía ha negado haber visto algún acceso malicioso a sus sistemas.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre