Op vrijdag zei Uber dat het geen bewijs had dat het incident betrekking had op toegang tot gevoelige gebruikersgegevens, zoals ritgeschiedenis, en dat interne softwaretools die het bedrijf na de hack had afgesloten weer online kwamen.
Uber begon donderdag een onderzoek naar het cyberbeveiligingsincident.
Een hacker heeft het account van een werknemer op de messaging-app Slack gecompromitteerd en gebruikt om een bericht naar Uber-werknemers te sturen waarin werd aangekondigd dat het bedrijf een datalek had opgelopen, volgens een rapport van de New York Times https://nyti.ms/3QMveIu van donderdag, waarin een woordvoerder van Uber werd geciteerd.
Cybersecurity is in het verleden een probleem geweest voor Uber. In 2016 werd het bedrijf getroffen door een belangrijke hack waarbij de persoonlijke informatie van ongeveer 57 miljoen klanten en chauffeurs werd blootgelegd.
De aandelen van het bedrijf daalden vrijdag met bijna 4% te midden van een bredere daling van de Amerikaanse markt.
De hacker bleek in staat om toegang te krijgen tot andere interne systemen en plaatste een expliciete foto op een interne informatiepagina voor werknemers, voegde het Times-rapport eraan toe.
"We staan in contact met de wetshandhaving en zullen hier aanvullende updates plaatsen zodra deze beschikbaar zijn," zei Uber in een tweet https://bit.ly/3qHx2rv, zonder verdere details te verstrekken.
De hacker heeft naar eigen zeggen toegang gekregen tot informatie over beveiligingslekken die door HackerOne voor Uber is geproduceerd. Dergelijke vertrouwelijke informatie zou kunnen worden gebruikt voor verdere inbreuken bij het bedrijf.
HackerOne zei dat ze "in nauw contact staan met Ubers beveiligingsteam, hun gegevens hebben vergrendeld en zullen blijven helpen met hun onderzoek", aldus Chris Evans, HackerOne's chief hacking officer.
Volgens beveiligingsonderzoeker Bill Demirkapi lijken de screenshots die online circuleren te bevestigen dat de hacker of hackers opscheppen dat ze toegang hebben tot de interne systemen van Uber.
"Dit verhaal is nog in ontwikkeling en dit zijn enkele extreme beweringen, maar er lijkt bewijs te zijn dat het ondersteunt," zei hij in een bericht op Twitter.
Uber-werknemers werden geïnstrueerd om Slack, de messaging-app van Salesforce Inc, niet te gebruiken, aldus het NYT-rapport.
"Ik kondig aan dat ik een hacker ben en dat Uber getroffen is door een datalek," luidde het bericht, en verder noemde het verschillende interne databases die zouden zijn gecompromitteerd, aldus het rapport.
Een persoon nam de verantwoordelijkheid voor de hack op zich en vertelde de krant dat hij een sms had gestuurd naar een Uber-werknemer die beweerde een IT-medewerker van het bedrijf te zijn.
De werknemer werd overgehaald om een wachtwoord te geven waarmee de hacker toegang kreeg tot de systemen van Uber, aldus het rapport.
Uber Chief Executive Officer Dara Khosrowshahi, die een jaar na de hack van 2016 de leiding nam, ontsloeg de toenmalige chief security officer, die later werd beschuldigd van pogingen om de inbreuk in de doofpot te stoppen. (Verslaggeving door Shubham Kalia, Maria Ponnezhath en Nivedita Balu in Bengaluru, Christopher Bing en Raphael Satter in Washington; redactie door Uttaresh.V, Rashmi Aich, Saumyadeb Chakrabarty, Kirsten Donovan en Maju Samuel)
