Uber под атакой

15 сентября 2022 года Uber подвергся масштабной кибератаке. Подросток из Оксфорда за несколько часов получил административный доступ к облачной инфраструктуре, корпоративной почте, внутренним коммуникациям и системам безопасности компании стоимостью в десятки миллиардов долларов. Инцидент продемонстрировал неприятную истину: даже организации с развитой ИБ-инфраструктурой остаются беззащитны перед социальной инженерией и человеческим фактором.

Выйти из полноэкранного режима

Развернуть на весь экран

Атаку совершил Арион Куртай, известный в хакерском сообществе под псевдонимом Tea Pot. На момент взлома ему было 18 лет. Куртай был ключевым участником международной группировки Lapsus$, на счету которой к тому моменту уже были успешные атаки на Microsoft, Nvidia, Samsung и Rockstar Games. Метод проникновения в Uber не потребовал сложных технических эксплойтов — понадобились только терпение и понимание человеческой психологии.

Первым шагом стало получение учетных данных внешнего подрядчика Uber. По официальной версии компании, пароль был приобретен на теневых форумах после заражения личного устройства подрядчика вредоносным программным обеспечением. Однако доступ в корпоративную сеть защищала многофакторная аутентификация, и здесь хакер применил тактику, известную специалистам как MFA fatigue attack.

Суть метода в следующем: злоумышленник многократно инициирует вход в систему, вызывая непрерывный поток push-уведомлений на телефон жертвы с запросом подтверждения. В случае с Uber бомбардировка продолжалась более часа. Параллельно Куртай связался с подрядчиком через WhatsApp, представившись сотрудником ИТ-поддержки компании, и убедил его подтвердить один из запросов, чтобы «остановить уведомления». Измотанный сотрудник нажал кнопку подтверждения, и хакер оказался внутри корпоративной сети.

Получив доступ к корпоративному VPN, атакующий начал сканирование внутренних ресурсов. На одном из сетевых дисков он обнаружил записи с учетными данными администратора системы Thycotic PAM, которая используется для управления привилегированным доступом. Это стало переломным моментом атаки. PAM-система хранила секреты доступа ко всем критическим сервисам компании. Сам хакер впоследствии сравнил находку с «мастер-ключом от всех комнат во всех зданиях».

В результате Куртай получил доступ к облачной инфраструктуре AWS и Google Cloud, корпоративной почте и документам объемом свыше петабайта, мессенджеру Slack, платформе bug bounty HackerOne с отчетами об уязвимостях, системе безопасности SentinelOne и репозиториям исходного кода сервисов Uber. О взломе стало известно необычным образом: хакер опубликовал в корпоративном Slack-канале сообщение о том, что в Uber произошла утечка данных. Сотрудники компании изначально восприняли это как шутку и отвечали мемами.

Uber отреагировал значительно оперативнее, чем в 2016 году, когда компания скрывала утечку данных 57 миллионов пользователей больше года. В этот раз в тот же день были уведомлены правоохранительные органы, отключены Slack и ряд внутренних систем, заблокированы скомпрометированные учетные записи и проведена ротация ключей доступа ко всем сервисам. По заявлению компании, публичные сервисы работали без перебоев, а данные пользователей не были похищены. Хакер, судя по всему, стремился к демонстрации возможностей, а не к финансовой выгоде.

В декабре 2023 года британский суд приговорил Куртая к бессрочному содержанию в психиатрической больнице. Ему диагностировали тяжелую форму аутизма, он был признан невменяемым. Судья констатировала, что подсудимый «твердо намерен вернуться к киберпреступлениям при первой возможности». Показательный факт: находясь под арестом в гостинице под надзором полиции, Куртай взломал Rockstar Games, используя только телевизор с Amazon Fire TV Stick и смартфон — ноутбук у него к тому моменту уже изъяли.

Человеческий фактор остается главной уязвимостью даже в структурах, отвечающих за кибербезопасность государства. 27 января 2026 года стало известно, что и.о. директора американского агентства CISA Маду Готтумуккала летом 2025 года загрузил чувствительные контрактные документы в публичную версию ChatGPT. Инцидент вызвал множественные автоматические предупреждения системы безопасности и проверку на уровне Министерства внутренней безопасности США. Документы были помечены «только для служебного пользования». При этом Готтумуккала лично запросил разрешение использовать ChatGPT вскоре после прихода в агентство, хотя для других сотрудников инструмент был заблокирован.

Проблема атак через подрядчиков приобретает системный характер и в России. Согласно исследованию ИБ-компании «Бастион», около 94% корпоративных сетей в стране уязвимы для полного захвата, а каждая третья успешная кибератака происходит через подрядчиков пострадавшей организации. Аналитики изучили системы защиты более 300 компаний разных отраслей. Общее число кибератак выросло на 25%, а каждая четвертая успешная атака (26%) осуществляется через цепочки поставок.

Взлом Uber обнажил системные проблемы корпоративной безопасности, характерные для всей отрасли. Многофакторная аутентификация на основе push-уведомлений, казавшаяся надежной защитой, оказалась уязвима к социальной инженерии. Поворотным моментом стало наличие встроенных учетных данных в неправильно сконфигурированном сетевом ресурсе. Проблема хранения паролей в открытом виде в коде и скриптах преследует Uber не первый год: все три крупных взлома компании в 2014, 2016 и 2022 годах критически связаны именно с этой уязвимостью.

Эксперты рекомендуют: принцип нулевого доверия должен стать базовым. Никакого доверия по умолчанию ни к пользователям, ни к устройствам, ни к подрядчикам. Необходимы ликвидация жестко закодированных паролей в скриптах и конфигурационных файлах, внедрение централизованных решений для хранения секретов и автоматическая ротация учетных данных. Обучение сотрудников остается критически важным элементом защиты: по данным компании Hoxhunt, год адаптивного обучения снижает успешность фишинговых атак на 86%.

Взлом Uber — не история про гениального хакера, а наглядная демонстрация системных недостатков, которые позволяют подростку с базовыми навыками социальной инженерии получить контроль над инфраструктурой мирового масштаба.

Корней Тимофеев