Felizmente, a Uber denunciou essa violação e agiu rapidamente.
Na semana passada, um jovem de 18 anos hacker usou técnicas de engenharia social para comprometer a rede da Uber. Ele comprometeu o login do Slack de um funcionário e o usou para enviar uma mensagem aos funcionários do Uber anunciando que havia sofrido uma violação de dados. Uber confirmou o ataque no Twitter em poucas horas, emitindo mais detalhes nesta página. A empresa alega que nenhum dado do usuário estava em risco, eles notificaram as autoridades e todos os seus serviços foram restaurados ao status operacional. (Houve algumas breves interrupções de várias ferramentas de software, mas elas também estão online novamente). Uber agora acha que o hacker faz parte de um grupo de hackers chamado Lapsus$.
O interessante sobre esse incidente foi a velocidade com que várias publicações e analistas de segurança forneceram cobertura, a rapidez com que o Uber notificou o mundo e quantos detalhes já temos sobre o que aconteceu. Compare isso com outro hack do Uber em 2016, quando as informações pessoais de cerca de 57 milhões de clientes e motoristas foram roubadas. Essa violação não foi tornada pública por mais de um ano
e resultou na demissão do chefe de segurança da Uber Oficial, Joseph Sullivan. Ele está atualmente sendo julgado por supostamente pagar aos hackers US$ 100.000 para encobrir as coisas e pelo atraso na divulgação da violação. Os hackers foram supostamente forçados a assinar acordos de confidencialidade, uma maneira estranha de lidar com a violação, com certeza.
Como aconteceu a violação?
A violação da semana passada é
explicado neste tópico do Twitter, , o que é incomum por causa disso nível de detalhe compartilhado pelo invasor, que supostamente compartilhou as capturas de tela mostradas no tópico. Eles incluem consoles que controlam as contas Amazon Web Services e Google Workspace da Uber, além de outros sistemas críticos. Um analista de segurança,que reagiu à violação em seu próprio tópico do Twitter, disse que o hacker controle administrativo quase total sobre os sistemas de computador da empresa, incluindo código-fonte de software e sistemas de mensagens internas.
O hacker — que o Uber agora acredita ser um membro da Grupo de hackers Lapsus$ que esteve por trás de várias outras violações de alto perfil – posteriormente falou com vários repórteres e admitiu que obteve acesso usando técnicas de engenharia social em um contratante da empresa. Eles criaram um portal MFA man-in-the-middle que enganou essa pessoa para revelar suas credenciais de autenticação, alegando ser do departamento de TI da Uber.
O hacker fez login na VPN corporativa e percorreu a rede, procurando alvos, incluindo um script do PowerShell que continha acesso de administrador para uma plataforma de gerenciamento de acesso privilegiado. Um destino foram os relatórios de recompensas de bugs do HackerOne da Uber, o que pode ser muito prejudicial, pois eles conheceriam vulnerabilidades que ainda não foram corrigidas e poderiam obter um pagamento premium se compartilhadas na dark web.
Lições aprendidas
Aqui estão algumas dicas importantes a serem lembradas após essa violação:
1. Nem todos os métodos MFA são criados igualmente
O Uber não estava usando senhas e tokens de hardware FIDO2 para proteger suas contas internas mais críticas. Estes são mais resistentes a ataques de phishing, como o que aconteceu aqui. Os invasores podem facilmente criar páginas de login falsas que podem coletar informações de um usuário para funcionários desavisados.
2. A engenharia social ainda é uma ameaça
Você pode ter todos os tipos de sistemas de segurança, mas lutar contra a natureza humana básica ainda é difícil. Foi fácil ver como o hacker conquistou a confiança e comprometeu o funcionário do Uber. Ars Technica aponta, “Muitas organizações e culturas continuam a acreditar que seus membros são inteligentes demais para cair em ataques de phishing. Eles gostam da conveniência dos aplicativos autenticadores em comparação com as formas FIDO2 de MFA, que exigem a posse de um telefone ou chave física. Esses tipos de violações continuarão sendo um fato da vida até que essa mentalidade mude.”
