أعلنت شركة “أوبر” أنها تعرضت لحادث أمن إلكتروني وأنها تعمل مع سلطات إنفاذ القانون بشأن هذه القضية، حيث تم وصف الحادث باعتباره خرقاً للبيانات أدى إلى توقف العديد من أنظمة أوبر الداخلية عن العمل.
علمت الشركة بحادثة الاختراق هذه بعد أن أعلن مراهق يبلغ من العمر 18 عاماً مسؤوليته عن اختراق أنظمة الشركة الداخلية، مدعياً أنه استخدم تقنية الهندسة الأجتماعية وتظاهر بأنه عامل في تكنولوجيا المعلومات وتمكن من إقناع الموظف بإرسال كلمة المرور والتي بدورها منحته حق الوصول.
في هذا السياق قال Josh Yavor كبير مسؤولي أمن المعلومات في شركة البرمجيات Tessian أن الهندسة الاجتماعية هي الطريقة السائدة التي تقع فيها الشركات ضحية للانتهاكات ويعرف الخصوم أنها فعالة وأنه يمكن خداع الناس للتخلي عن كلمات المرور الخاصة بهم.
من الجدير بالذكر أنه علاوةً على بساطة الاختراق، فإن الصدمة الأكبر للشركة أنها لم تكن تعلم أنه تم اختراقها لو لم يعلن المخترق عن ذلك في قناة Slack الخاصة بالشركة.
يذكر أيضاً أن المخترق شرع في تشغيل بعض الأنظمة الداخلية للشركة التي تم اختراقها، وأنهى رسالته بمطالبة الشركة بدفع أجور زهيدة لسائقيها، مما جعل موظفي الشركة يعتقدون أن الأمر كان مجرد مزحة.
شارك Sam Curry مهندس شؤون الموظفين في Yuga Labs معلومات إضافية حول الاختراق الذي يقول إنه تلقاه من جهة اتصال في Uber، مشيراً إلى أن مسؤول مجال Uber ومسؤول Amazon Web Services ومسؤول GSuite من بين بعض حسابات الشركة التي تم اختراقها، حيث تم نشر صور تثبت وصول المخترق إلى هذه الحسابات.
وفي تقريرها عن الاختراق سلطت The Verge الضوء على سلسلة محادثات تويتر من الباحث الأمني Corben Leo الذي حصل على القليل من المعلومات حول كيفية تمكن المخترق من الوصول إلى العديد من الأنظمة الداخلية.
حيث جاء في التقرير أنه بمجرد أن أرسل الموظف كلمة المرور الخاصة به، تمكن المخترق الشاب من الوصول إلى VPN الخاص بالشركة ومسح الإنترنت والعثور على نصوص Powershell النصية التي تحتوي على بيانات اعتماد لخدمات متعددة.
في السياق ذاته أوضح Jack Moore مستشار الأمن السيبراني العالمي في شركة الأمن السيبراني ESET أن الوصول إلى البيانات الخاصة داخل شبكات VPN يجب أن يكون أمراً صعباً ويخضع للحماية الصارمة، الأمر الذي يترك الآن لدى شركة أوبر الكثير من الأسئلة حول مقدار البيانات التي تم اختراقها عبر هذه الطريقة.
يمكن القول أن هذا الأختراق يجب أن يسلط الضوء على أهمية تدريب الموظفين ليبقوا متيقظين وأن يكون لديهم القدرة على اكتشاف محاولات الاختراق والتحقق مرة أخرى قبل تسليم أي نوع من المعلومات.
