Ridesharinggigant Uber zegt een “veiligheidsincident” te onderzoeken nadat bleek dat de interne systemen werden gekraakt. De hacker beweert nu een 18-jarige te zijn, die interne wachtwoorden zou hebben gekregen nadat hij een werknemer had overtuigd een bedrijfsinformaticus te zijn.

De hacker zou toegang hebben tot een aantal vitale systemen van het bedrijf, waaronder Amazon Web Services en het Google Cloud-platform. Nadat hij de wachtwoorden had ontfutseld, plaatste hij een bericht in het interne communicatiesysteem van Uber, waarin hij toegaf de hack te hebben uitgevoerd. 

“Ik kondig aan dat ik een hacker ben en dat Uber een datalek heeft geleden”, zei de anonieme 18-jarige. Dat blijkt uit screenshots van het bericht die intussen de ronde deden op Twitter. Onder het bericht vertelde hij dat hij ook gevoelige informatie had gestolen. Ook gebruikte hij een hashtag waarin te lezen staat dat het bedrijf zijn chauffeurs onderbetaalt.

Het Slackbericht van de hacker was zo rechtstreeks, dat veel werknemers dachten dat het om een grap ging. Uiteindelijk bleek dat niet het geval. De dader bevestigde intussen aan de New York Times dat hij wel degelijk Uber hackte. Hij zou dat voor de lol hebben gedaan en zou zeggen dat hij overweegt om de broncode van het bedrijf te lekken.

Om die toegang te krijgen, zou de anonieme hacker gebruikgemaakt hebben van social engineering, een tactiek waarbij een persoon de zwakste schakel in een computerbeveiligingssysteem, namelijk de mensen zelf, manipuleert om gevoelige informatie te stelen. Nadat hij zich voordeed als een bedrijfsinformaticus kreeg hij toegang tot een interne VPN, een virtueel privénetwerk, waarin hij wachtwoorden kon vinden voor andere interne systemen.

Politie gecontacteerd

Intussen zegt Uber dat het contact heeft opgenomen met de politie, die de kwestie verder onderzoekt. Medewerkers zouden intussen tijdelijk geen toegang meer hebben tot Slack. De diensten van Uber zouden geen problemen ondervinden door de hack.

Sam Curry, een veiligheidsexpert bij cyberveiligheidsfirma Yuga Labs, vertelde aan de New York Times wel dat het incident ernstige gevolgen zou kunnen hebben. Althans, moest de tiener besluiten de broncode vrij te geven. “Dit is een totaal compromis, zo te zien”, vertelde Curry. “Het lijkt erop dat het een kind is dat toegang kreeg tot Uber en niet weet wat ermee te doen, en de tijd van zijn leven heeft.”

(ns)