[ Tráfego 5/Out a 3/Nov: 342.141 page views - 134.249 usuários ] - [ Newsletter 5.485 assinantes Open rate 28%]

Security Forensics Pericia

Hackers contam como invadiram a Uber em 2016

Da Redação
15/09/2022

Os dois hackers que em 2016 invadiram o Uber detalharam na última segunda-feira, dia 12 de Setembro, na corte de São Francisco de que modo conseguiram acesso a credenciais de 600 mil motoristas do Uber, relata o portal Courthouse News Service, dos EUA. Depondo como testemunhas no julgamento do ex-CISO do Uber, Joe Sullivan, os hackers Vasile Mereacre e Brandon Glover disseram que começaram vasculhando o Github em busca de falhas de segurança exploráveis – não estavam procurando hackear nenhuma empresa em particular.

Veja isso
Ex-CSO do Uber acusado de obstrução da justiça e ocultação de crime
Acordo com a Justiça livra a Uber de indiciamento

Sullivan está sendo julgado por obstrução da Justiça e ocultação de crime. Mereacre disse que ele e Glover modelaram seu ataque a partir de outros sobre os quais leram em fóruns online: ali, endereços de e-mail e senhas roubados foram usados ​​para acessar o Github, um site onde os desenvolvedores armazenam e compartilham código de software. Assim que obtiveram acesso ao Github, Mereacre e Glover pesquisaram no site público as chaves de acesso aos servidores da empresa Uber, hospedados pela Amazon Web Services. Depois de algum tempo, eles descobriram o que queriam – uma chave da AWS que desbloqueou um serviço de armazenamento simples, ou bucket S3, contendo mais de 200 arquivos de dados privados de usuários.

Mereacre disse que ele e Glover ficaram “impressionados” porque uma das chaves que roubaram do Github realmente funcionou. Afinal, não era como se eles estivessem analisando um bate-papo interno da empresa; era o site público do Github. Ele também disse que a maioria das empresas geralmente altera ou “rota” as chaves regularmente como medida de segurança de rotina.

“Acho que eles teriam uma segurança melhor, mas o Uber não”, disse Mereacre. Ele e Glover então baixaram os dados, consistindo de nomes, endereços de e-mail e números de telefone de 57 milhões de usuários do aplicativo, além de 600.000 números de carteiras de motorista.

Continua na página 2

Com informações do Courthouse News Service

Compartilhar: