La devastación del Uber Hack apenas comienza a revelarse

El jueves por la noche, Uber, el gigante de los viajes compartidos confirmado que estaba respondiendo a “un incidente de seguridad cibernética” y se estaba comunicando con la policía sobre la violación. Una entidad que afirma ser un hacker individual de 18 años asumió la responsabilidad del ataque, alardeando ante varios investigadores de seguridad sobre los pasos que tomaron para violar la seguridad de la empresa. el atacante según se informa publicó: “Hola @aquí anuncio que soy un hacker y Uber ha sufrido una violación de datos”, en un canal en Slack de Uber el jueves por la noche. La publicación de Slack también enumeró una serie de bases de datos y servicios en la nube de Uber que el pirata informático afirmó haber violado. Según los informes, el mensaje concluyó con la firma, “uberunderpaisdrives”.

La compañía eliminó temporalmente el acceso el jueves por la noche a Slack y algunos otros servicios internos, según Los New York Times, que fue el primero en denunciar la infracción. En una actualización del mediodía del viernes, la compañía dijo que “las herramientas de software internas que eliminamos ayer como precaución están volviendo a estar en línea”. Invocando el tradicional lenguaje de notificación de infracciones, Uber también dijo el viernes que “no tiene evidencia de que el incidente involucre el acceso a datos confidenciales del usuario (como el historial de viajes)”. Sin embargo, las capturas de pantalla filtradas por el atacante indican que los sistemas de Uber pueden haber sido comprometidos profunda y completamente y que cualquier cosa a la que el atacante no accedió puede haber sido el resultado de un tiempo limitado en lugar de una oportunidad limitada.

“Es desalentador y Uber definitivamente no es la única empresa contra la que funcionaría este enfoque”, dice el ingeniero de seguridad ofensiva Cedric Owens sobre las tácticas de phishing e ingeniería social que el hacker afirmó usar para violar la empresa. “Las técnicas mencionadas en este truco hasta ahora son bastante similares a las que muchos miembros del equipo rojo, incluido yo mismo, hemos usado en el pasado. Entonces, desafortunadamente, este tipo de infracciones ya no me sorprenden”.

El atacante, a quien WIRED no pudo contactar para hacer comentarios, reclamación (es que primero obtuvieron acceso a los sistemas de la empresa dirigiéndose a un empleado individual y enviándole repetidamente notificaciones de inicio de sesión de autenticación de múltiples factores. Después de más de una hora, el atacante afirma haber contactado al objetivo en WhatsApp fingiendo ser una persona de TI de Uber y diciendo que las notificaciones de MFA se detendrían una vez que el objetivo aprobara el inicio de sesión.

Dichos ataques, a veces conocidos como ataques de “fatiga MFA” o “agotamiento”, aprovechan los sistemas de autenticación en los que los propietarios de cuentas simplemente tienen que aprobar un inicio de sesión a través de una notificación automática en su dispositivo en lugar de otros medios, como proporcionar un mensaje generado aleatoriamente. código. Los phishes rápidos de MFA se han vuelto cada vez más popular entre los atacantes. Y, en general, los piratas informáticos han desarrollado cada vez más ataques de phishing para evitar la autenticación de dos factores a medida que más empresas la implementan. La reciente filtración de Twilio, por ejemplo, ilustró cuán nefastas pueden ser las consecuencias cuando una empresa que brinda servicios de autenticación multifactor se ve comprometida. Las organizaciones que requieren claves de autenticación física para los inicios de sesión han tenido éxito al defenderse de estos ataques remotos de ingeniería social.

La frase “confianza cero” se ha convertido en una palabra de moda a veces sin sentido en la industria de la seguridad, pero la violación de Uber parece mostrar un ejemplo de al menos lo que no es la confianza cero. Una vez que el atacante tuvo acceso inicial dentro de la empresa, reclamar pudieron acceder a recursos compartidos en la red que incluían scripts para el programa de administración y automatización de Microsoft, PowerShell. Los atacantes dijeron que uno de los scripts contenía credenciales codificadas para una cuenta de administrador del sistema de administración de acceso Thycotic. Con el control de esta cuenta, afirmó el atacante, pudieron obtener tokens de acceso para la infraestructura en la nube de Uber, incluidos Amazon Web Services, GSuite de Google, el panel vSphere de VMware, el administrador de autenticación Duo y el servicio crítico de administración de acceso e identidad OneLogin.