Uber hackeado y chico mira malo. El pirata informático, que se jactó de sus logros a través de Telegram esta semana, afirma tener 18 años y supuestamente obtuvo un acceso tan generoso a la red del gigante tecnológico que logró Slack the Uber Workforce y publicó una foto de Dick en los sitios web internos de la empresa. .
Uber no ha dicho mucho sobre su desastre de seguridad todavía, excepto el jueves cuando fue El confesó Estaba experimentando un «incidente de seguridad cibernética». El viernes, la compañía también publicó un archivo Breve actualización Afirmaron que «no había evidencia de que el incidente estuviera relacionado con el acceso a datos confidenciales de los usuarios».
Los investigadores de seguridad en línea analizaron rápidamente el episodio, analizando los errores tácticos que pueden haber llevado a la violación, según la información que filtró el perpetrador. Efectivamente, todo lo que dijo el hacker en este punto fue solo presunto No está claro si están diciendo la verdad o no. Sin embargo, Gizmodo se ha comunicado con varios expertos para preguntar sobre el hackeo y obtener sus puntos de vista sobre cómo sucedió todo esto.
¿Cómo afirma un hacker haber pirateado Uber?
como un montón de Intrusiones recientes En las grandes redes corporativas, Uber parece haber sido pirateado utilizando técnicas de piratería bastante básicas. De hecho, si el delincuente resulta ser un adolescente, significa que una de las empresas de tecnología más grandes del planeta acaba de ser pirateada por alguien que probablemente no habría calificado para más de Guión de KDE.
El hacker estaba feliz de contarles a todos cómo ingresaron a la red de Uber. En los datos publicados en la página de Telegram y en negociaciones Con el New York Times, el presunto pirata informático dijo que engañó a un empleado de Uber para que falsificara sus credenciales de inicio de sesión mediante un ataque de ingeniería social que lo hacía parecer un colega. Dave Mason, director de seguridad empresarial de la firma de seguridad Darktrace, le dijo a Gizmodo que este no es un método de piratería particularmente sofisticado.
«Según lo que dijo el hacker, en realidad no ‘hackearon’ a su manera», dijo Mason. “Básicamente engañaron a alguien para que revelara los detalles de la autenticación multifactor y luego entraron por la puerta principal”. Este tipo de ataques siempre han sido comunes, dijo Mason, pero han crecido cada vez más desde que la pandemia puso a la mayoría de las empresas en un modo semipermanente de trabajo desde casa.
Parece que el ataque permitió al hacker acceder a la VPN del usuario, lo que le dio acceso a la red de la empresa Uber. A partir de ahí, el hacker supuestamente descubrió un documento, o «recurso compartido de acceso interno», que contenía credenciales de inicio de sesión para otros servicios y áreas de la red. Entonces, escalar los privilegios al entorno más amplio de la empresa fue relativamente fácil.
a Mal funcionamiento de MFA
Durante mucho tiempo, hemos escuchado que la forma más segura de mantener segura nuestra vida digital es usar múltiples factores Autenticación. MFA autentica a los usuarios obligándolos a proporcionar múltiples datos (generalmente de al menos dos dispositivos diferentes) para iniciar sesión en sus cuentas en línea. Sin embargo, algunas formas de MFA también suelen tener una discusión deficiente, lo que puede ser maniobrabilidad Por un hacker usando ingeniería social o básica hombre en el medioAtaques de patrones para las credenciales de inicio de sesión.
Bill Demirkapi, un investigador de seguridad independiente, le dijo a Gizmodo que el tipo de MFA que parece haber usado Uber no es el tipo más seguro. En cambio, Demirkapi sugiere usar FIDO2, que se considera una forma de autenticación «anti-phishing». Demirkapi dijo que FIDO2 es un mecanismo de autenticación basado en la web que, a diferencia de las formas más estándar de MFA, verifica que el origen del enrutador MFA proviene del servidor de inicio de sesión real. «Si el atacante crea una página de inicio de sesión falsa y solicita el FIDO MFA, el dispositivo U2F no responderá, lo que impedirá que continúe la autenticación», agregó.
Formas estándar de autenticación multifactor, como notificaciones automáticas, mensajes de texto y contraseña de un solo uso [one-time-password]etc., protegen contra atacantes que solo tienen credenciales de empleados, pero muchas veces no están contra el phishing”, dijo.
El problema es que el phishing estándar de usuarios de MFA se puede lograr con bastante facilidad utilizando herramientas web ampliamente accesibles. Demirkapi se refiere a una de estas herramientas, llamada «malegynxa la que se puede acceder de forma gratuita en línea. Un atacante puede usar una herramienta como esta para crear una página de inicio de sesión falsa que se vea idéntica a la real. Si convencen a la víctima para que visite la página de phishing, el servidor del atacante puede «copiar una conexión al servidor de inicio de sesión real” para que todo se transmita La víctima ingresa al atacante.
“La víctima puede ingresar sus credenciales, el atacante las registra y luego el atacante envía la solicitud de inicio de sesión al servidor real”, dijo Demirkapi. Una vez que la víctima reclama ‘Standard MFA Multi Family Style’, no se realiza ninguna verificación para garantizar que la víctima esté realmente en la página de inicio de sesión real. La víctima acepta el enrutador, el servidor real envía las cookies autenticadas de la víctima al servidor del atacante y el El atacante registra y envía esto a la víctima. Es un proceso continuo que le permite al atacante capturar las credenciales de la víctima, incluso con formas comunes de autenticación multifactor».
¿Están seguros los datos de los usuarios?
Una de las preguntas persistentes sobre este incidente es si los datos de los usuarios se han visto afectados. El viernes se estrenó Uber un permiso que afirmaba que «no había evidencia» de que el pirata informático tuviera acceso a «datos confidenciales del usuario (como el historial de vuelos)». Sin embargo, la compañía no proporcionó mucho contexto sobre lo que eso significa. Los expertos en seguridad que hablaron con Gizmodo dijeron que (dado el extenso acceso que parece haber obtenido el hacker) ciertamente era posible Que puedan ver los datos de los usuarios.
«¿Es posible?, dijo Demirkapi. De hecho, algunas capturas de pantalla filtradas por el atacante parecen mostrar un acceso limitado a la información del cliente. Sin embargo, eso por sí solo no significa mucho, porque lo que realmente importa es cuánto tiene acceso el atacante a la información del cliente. ” Obviamente, este alcance es desconocido.
Mason también estuvo de acuerdo en que era posible. «Todavía no lo sabemos, pero no me sorprendería si ese fuera el caso», dijo, refiriéndose al hackeo de 2016 que afectó a la empresa. En ese caso particular, el efecto fue muy malo. Los piratas informáticos robaron la información personal de . Cerca de 57 millones de usuarios de Uber. La empresa no reveló el incidente y pagó en secreto a los ciberdelincuentes para que borraran los datos.
En este momento, la pregunta más relevante para Uber puede ser qué tipo de suciedad encontró el hacker en la empresa de viajes compartidos. prácticas de negocios Y si saben lo que están buscando.
