Genç hacker Uber'in sistemini patlattı

[SUPERSAIAN]

Uber’in, genç bir hacker saldırısı sonrası iç sistemleri çöktü. Erişimini göstermek için dahili Uber sistemlerinin ekran görüntülerini sağlayan bilgisayar korsanı, 18 yaşında olduğunu ve birkaç yıldır siber güvenlik becerileri üzerinde çalıştığını, şirketin güvenliği zayıf olduğu için Uber'in sistemlerine girdiğini söyledi. Bir Uber sözcüsü, şirketin ihlali araştırdığını ve kolluk kuvvetleriyle temasa geçtiğini söyledi.

Uber calışanlarına da Slack uygulaması üzerinden ulaşmış mesaj göndermiş, 18 yaşındaki genç hacker, Siber saldırının kapsamı araştırılırken birkaç dahili iletişim ve mühendislik sisteminin çevrimdışına alınmasına neden oldu.

Bir Uber sözcüsü, şirketin ihlali araştırdığını ve kolluk kuvvetleriyle temasa geçtiğini söyledi. Görünen hacker açığı bulsa da pek bir şey elde edememiş gibi duruyor.

Kaynak : Uber

[W Jr.]

Milyon $’lara yön veren bir sistemsiniz ve bir kaç yıldır siber güvenlikle ilgilenen 18 yaşında genç bir çocuğun sistemine girmenizi engelleyemiyorsunuz.Eğer doğru bir haberse bu Uber için yüz karası bir haber.Uber’in sanal güvenliğini sağlayan çalışan şirket ya da görevli kimse, bunun açıklamasını Uber’e yapabilmeli.

[kriminall]

Kolluk kuvvetleri yakalarlar bu çocuğu, kefaret ile serbest kalır büyük ihtimalle, ben über yerinde olsaydım, bu çocuğu alır işe güvenlik departmanında faydalanmaya çalışırdım, sistemin açıklarını biliyor sonuçta, suçlu olarak yargılanmaktansa kendi lehine kullanması über için iyi olurdu, onlar farklı düşünüyorlar herhalde böyle bir girişimden uzak hareketler yapmışlar,

[eightdots]

Ufak bir varsayım yapayım. Güvenliği sağlayan şirketsin ve gerekli ücreti alamıyorsun. Seni bağlayan bir sözleşme var ve ücret artırımına gitmene engel oluyor. Bir de uluslararası çalıştığın için giderlerin sabit kalmadı ve bu sisteme bir şey yapmak istedin ki sözleşmenin bazı açıklarından faydalanabilesin. Sonuçta bu olayı yapıp ortaya birini atıyorsun ve seni bağlayan şartlar bir anda ortadan kalkıyor. Olayın basit bir hacker'lıktan dolayı çıktığını sanmıyorum. Yılların şirketinin güvenlik zafiyetinin bu denli olabileceğini hiç sanmıyorum. Bildiğim bir uluslararası düzeyde çalışan güvenlik şirketinin bütçesindeki gelir gider kalemleri hakkında az çok bilgim var bu söylediğim olay daha olası geliyor.

Diğer yönden çok inanamasam da varsayım yapmadan düşünürsem 18 yaşındaki bir çocuğun böyle bir şey gerçekleştirmesi eğer gerçekse muazzam olay.

[Red Pie]

Ufak bir varsayım yapayım. Güvenliği sağlayan şirketsin ve gerekli ücreti alamıyorsun. Seni bağlayan bir sözleşme var ve ücret artırımına gitmene engel oluyor. Bir de uluslararası çalıştığın için giderlerin sabit kalmadı ve bu sisteme bir şey yapmak istedin ki sözleşmenin bazı açıklarından faydalanabilesin. Sonuçta bu olayı yapıp ortaya birini atıyorsun ve seni bağlayan şartlar bir anda ortadan kalkıyor. Olayın basit bir hacker'lıktan dolayı çıktığını sanmıyorum. Yılların şirketinin güvenlik zafiyetinin bu denli olabileceğini hiç sanmıyorum. Bildiğim bir uluslararası düzeyde çalışan güvenlik şirketinin bütçesindeki gelir gider kalemleri hakkında az çok bilgim var bu söylediğim olay daha olası geliyor.

Diğer yönden çok inanamasam da varsayım yapmadan düşünürsem 18 yaşındaki bir çocuğun böyle bir şey gerçekleştirmesi eğer gerçekse muazzam olay.

Sizin bahsettiğiniz şu olay daha gerçekçi aslına bakarsanız. içeriden destek almadan açıkları tespit etmek imkansız olabilir. bunun için bir denek bulmak, üstelik çok kolay olabilecek şekilde bulmak daha mantıklı açıklamalar getiriyor bana. birileri bu meraklı arkadaşı kullanıp uberin itibarını da sarsabilir. iyi de bu hipotezde uberin kendileriyle çalışmaya devam edeceklerini nasıl kesinleştirecekler? bir manada onlara kötü imaj veren bir olay bu nihayetinde.

[eightdots]

Ufak bir varsayım yapayım. Güvenliği sağlayan şirketsin ve gerekli ücreti alamıyorsun. Seni bağlayan bir sözleşme var ve ücret artırımına gitmene engel oluyor. Bir de uluslararası çalıştığın için giderlerin sabit kalmadı ve bu sisteme bir şey yapmak istedin ki sözleşmenin bazı açıklarından faydalanabilesin. Sonuçta bu olayı yapıp ortaya birini atıyorsun ve seni bağlayan şartlar bir anda ortadan kalkıyor. Olayın basit bir hacker'lıktan dolayı çıktığını sanmıyorum. Yılların şirketinin güvenlik zafiyetinin bu denli olabileceğini hiç sanmıyorum. Bildiğim bir uluslararası düzeyde çalışan güvenlik şirketinin bütçesindeki gelir gider kalemleri hakkında az çok bilgim var bu söylediğim olay daha olası geliyor.

Diğer yönden çok inanamasam da varsayım yapmadan düşünürsem 18 yaşındaki bir çocuğun böyle bir şey gerçekleştirmesi eğer gerçekse muazzam olay.

Sizin bahsettiğiniz şu olay daha gerçekçi aslına bakarsanız. içeriden destek almadan açıkları tespit etmek imkansız olabilir. bunun için bir denek bulmak, üstelik çok kolay olabilecek şekilde bulmak daha mantıklı açıklamalar getiriyor bana. birileri bu meraklı arkadaşı kullanıp uberin itibarını da sarsabilir. iyi de bu hipotezde uberin kendileriyle çalışmaya devam edeceklerini nasıl kesinleştirecekler? bir manada onlara kötü imaj veren bir olay bu nihayetinde.

Eğer söylediğim varsayım gerçekse bunların kabul görmeyeceği yer pek olmaz, o yüzden;

Yeni evi tuttular ki eski evlerinden çıkıyorlar

[püsür]

Uber'in güvenlik yazılımında sorun yokmuş. Yani 18 yaşındaki çocuk oturup Uber'i gerçekten yazılımsal olarak hacklememiş. Anladığım kadarıyla admin şifrelerine bir çalışandan phishing yolu ile ulaşmış. Bu çalışana Whatsapp üzerinden ben Uber'in IT departmanında çalışıyorum demiş ve cihazına erişim izni istemiş. Adam da erişim iznini verince Uber kaynak koduna, e-postaya, HackerOne hata raporlarına, AWS yöneticisine, G Suite yöneticisine ve alan yöneticisine erişim kazandığı söyleniyor. Twitter'da uber diye bir aratırsanız cümbüşü görebilirsiniz, herkes dalga geçiyor. CZ bile yazmış. Sosyal mühendislik konusunda çalışanlarınızı eğitin diye. Şaka gibi bir durum olmuş gerçekten.

[meser#]

Hackleyen arkadaş 40-50 yaşlarında olsaydı tamamdır abi adam bu işi biliyor mu diyecektik Farketmiyor gerek pishing ile yapsın gerek yazılımsal olarak hacklesin farketmiyor sonuçta insan eliyle yapılmış bir sistem illa ki bir açığı vardır. Bunu 18 yaşındaki birisi de bulabilir 88 yaşındaki biriside. Keza pishing ile hacklendiyse buna hiç kimse dur diyemez yani Kevin mitnick'in de dediği gibi bir güvenlik sisteminin en büyük açığı insandır. Ha pishing ile yapılmadıysa da Uber'in bu çocuğu kafalaması gerekir

[Phoenix Anka]

Hackleyen arkadaş 40-50 yaşlarında olsaydı tamamdır abi adam bu işi biliyor mu diyecektik Farketmiyor gerek pishing ile yapsın gerek yazılımsal olarak hacklesin farketmiyor sonuçta insan eliyle yapılmış bir sistem illa ki bir açığı vardır. Bunu 18 yaşındaki birisi de bulabilir 88 yaşındaki biriside. Keza pishing ile hacklendiyse buna hiç kimse dur diyemez yani Kevin mitnick'in de dediği gibi bir güvenlik sisteminin en büyük açığı insandır. Ha pishing ile yapılmadıysa da Uber'in bu çocuğu kafalaması gerekir

Yazılımsal olarak hacklemeyi başarsaydı daha büyük sorunlar olurdu. Şimdilik Uberin çalışanlarını uyararak veya iş aktini sonlandırarak yapacağı bir seçimle 3 gün gülünüp sonra unutulacak bir olay oldu. Gerçekten siber güvenlik duvarında bir açık olsaydı bu Ubere pahalıya patlardı neyse ki daha az sorun var önlerinde.

[karabiber]

Çalışanların merkez ofis ile arasındaki bağlantının kuvvetli olması gerektiğini bize gösteren bir olay olmuş. Çok fazla çalışanı olan şirketlerde çoğu saha çalışanı -mavi yaka- merkez ofis çalışanlarının ismini bile bilmez. Bu elbette büyük sorun teşkil eder. Uber sisteminin zaafiyete uğraması da bunu kanıtlıyor. Hadi diyelim tanımadı öyle olsa bile kritik bilgilerin istendiği durumlarda izin verme durumunu ofisle paylaşmadan yapmaması gerekirdi. Çalışanları iyi eğitmezseniz basit bir oltalama yöntemiyle bile zaafiyete uğrarsınız.

[Pierre 2]

Artık entegre mastercard vb sistemler kullanıldığı için hiçbir hack sonucunda finansal veri sızmıyor. Sanırım doğrudan ödeme sisteminin ya da bankanın hacklenmesi gerekiyor ki bu da oldukça imkansız bir şey. Neyse, medyaya yansıyan çoğu hack saldırı aslında basitçe phishing yöntemiyle oluyor. Ne kadar güçlü sistemler geliştirirseniz geliştirin söz konusu insani bir açık ise herhangi bir çözümü söz konusu bile olamıyor. Bu da aynısı işte. Şirketlerin çalışanlarına basit siber güvenlik yöntemleri eğitimi vermesi mutlak surette gereklidir.