Na quinta-feira à noite, a gigante do compartilhamento de viagens Uber confirmou que estava respondendo a “um incidente de segurança cibernética” e estava entrando em contato com a polícia sobre a violação. Uma entidade que afirma ser um hacker individual de 18 anos assumiu a responsabilidade pelo ataque, se gabando de vários pesquisadores de segurança sobre as medidas que tomaram para violar a empresa. O invasor teria postado: “Olá, aqui anuncio que sou um hacker e o Uber sofreu uma violação de dados”, em um canal no Slack do Uber na noite de quinta-feira. O post do Slack também listou vários bancos de dados e serviços em nuvem da Uber que o hacker alegou ter violado. A mensagem teria sido concluída com a aprovação, “uberunderpaisdrives.”
The New York Times, que primeiro relatou a violação. Em uma atualização do meio-dia na sexta-feira, a empresa disse que “ferramentas de software internas que desativamos por precaução ontem estão voltando a ficar online”. Invocando uma linguagem de notificação de violação consagrada pelo tempo, a Uber também disse na sexta-feira que “não tem evidências de que o incidente envolveu acesso a dados confidenciais de usuários (como histórico de viagens)”. As capturas de tela vazadas pelo invasor, no entanto, indicam que os sistemas da Uber podem ter sido profundamente e completamente comprometidos e que qualquer coisa que o invasor não tenha acessado pode ter sido resultado de tempo limitado e não de oportunidade limitada.
“É desanimador, e o Uber definitivamente não é a única empresa contra a qual essa abordagem funcionaria”, diz o engenheiro de segurança ofensivo Cedric Owens sobre as táticas de phishing e engenharia social que o hacker alegou usar para violar a empresa. “As técnicas mencionadas neste hack até agora são bastante semelhantes às que muitos red teamers, inclusive eu, usaram no passado. Então, infelizmente, esses tipos de violações não me surpreendem mais.”
O invasor, que não pôde ser contatado pela WIRED para comentar, afirma que primeiro obteve acesso aos sistemas da empresa por visando um funcionário individual e enviando repetidamente notificações de login de autenticação multifator. Depois de mais de uma hora, o invasor afirma que eles contataram o mesmo alvo no WhatsApp fingindo ser um funcionário de TI da Uber e dizendo que as notificações do MFA parariam assim que o alvo aprovasse o login.
Tais ataques, às vezes conhecidos como ataques de “fadiga de MFA” ou “exaustão”, tiram proveito de sistemas de autenticação em que os proprietários de contas simplesmente precisam aprovar um login por meio de uma notificação por push em seus dispositivo em vez de por outros meios, como fornecer um código gerado aleatoriamente. Os phishes com prompt de MFA se tornaram cada vez mais populares entre os invasores. E, em geral, os hackers desenvolveram cada vez mais ataques de phishing para contornar a autenticação de dois fatores à medida que mais empresas a implantam. A recente violação do Twilio, por exemplo, ilustrou quão terríveis podem ser as consequências quando uma empresa que fornece serviços de autenticação multifator é comprometida. As organizações que exigem chaves de autenticação física para logins tiveram sucesso em se defender contra esses ataques remotos de engenharia social.
A frase “confiança zero” tornou-se uma palavra-chave às vezes sem sentido no setor de segurança, mas a violação do Uber parece pelo menos mostrar um exemplo do que a confiança zero não é. Depois que o invasor teve acesso inicial dentro da empresa, eles alegaram que conseguiram acessar recursos compartilhados na rede que incluíam scripts para o programa de automação e gerenciamento da Microsoft PowerShell. Os invasores disseram que um dos scripts continha credenciais codificadas para uma conta de administrador do sistema de gerenciamento de acesso Thycotic. Com o controle dessa conta, o invasor alegou, eles conseguiram obter tokens de acesso para a infraestrutura de nuvem da Uber, incluindo Amazon Web Services, GSuite do Google, painel vSphere da VMware, o gerenciador de autenticação Duo e o serviço de gerenciamento de identidade e acesso crítico OneLogin.
