la-devastazione-di-uber-hack-sta-appena-iniziando-a-rivelarsi

Giovedì sera, il colosso del ride-sharing Uber ha confermato che stava rispondendo “un incidente di sicurezza informatica” e stava contattando le forze dell’ordine in merito alla violazione. Un’entità che afferma di essere un hacker di un anno 18 si è presa la responsabilità dell’attacco , vantandosi con più ricercatori di sicurezza delle misure adottate per violare l’azienda. L’attaccante avrebbe pubblicato “Ciao @qui, annuncio che sono un hacker e che Uber ha subito una violazione dei dati”, in un canale su Slack di Uber su Giovedì notte. Il post Slack elencava anche una serie di database Uber e servizi cloud che l’hacker ha affermato di aver violato. Secondo quanto riferito, il messaggio si concludeva con l’approvazione “uberunderpaisdrives”.

La società ha temporaneamente sospeso l’accesso giovedì sera a Slack e ad alcuni altri servizi interni, secondo Il New York Times, che ha riportato per la prima volta la violazione. In un aggiornamento di mezzogiorno di venerdì, la società ha affermato che “gli strumenti software interni che abbiamo rimosso per precauzione ieri stanno tornando in linea.” Invocando l’antico linguaggio di notifica delle violazioni, Uber ha anche affermato venerdì che “non ha prove che l’incidente abbia comportato l’accesso a dati sensibili degli utenti (come la cronologia dei viaggi).” Gli screenshot trapelati dall’attaccante, tuttavia, indicano che i sistemi di Uber potrebbero essere stati profondamente e completamente compromessi e che tutto ciò a cui l’attaccante non ha avuto accesso potrebbe essere stato il risultato di un tempo limitato piuttosto che di opportunità limitate.

“È scoraggiante e Uber non è sicuramente l’unica azienda contro cui questo approccio funzionerebbe”, afferma l’ingegnere della sicurezza offensivo Cedric Owens riguardo alle tattiche di phishing e ingegneria sociale che l’hacker ha affermato di utilizzare per violare l’azienda. “Le tecniche menzionate in questo hack finora sono abbastanza simili a quelle che molti teamer rossi, me compreso, hanno usato in passato. Quindi, sfortunatamente, questi tipi di violazioni non mi sorprendono più.”

L’attaccante, che non è stato contattato da WIRED per un commento, afferma di aver prima ottenuto l’accesso ai sistemi aziendali prendendo di mira un singolo dipendente e inviandogli ripetutamente notifiche di accesso con autenticazione a più fattori. Dopo più di un’ora, afferma l’attaccante, hanno contattato lo stesso target su WhatsApp fingendo di essere un IT Uber e dicendo che le notifiche MFA si sarebbero interrotte una volta che il target avesse approvato l’accesso.

Tali attacchi, a volte noti come attacchi di “affaticamento da MFA” o “esaurimento”, sfruttano i sistemi di autenticazione in cui i proprietari degli account devono semplicemente approvare un accesso tramite un push notifica sul proprio dispositivo piuttosto che attraverso altri mezzi, come fornire un codice generato casualmente. I phishing di richiesta MFA sono diventati sempre più popolari tra gli aggressori . E in generale, gli hacker hanno sviluppato sempre più attacchi di phishing per aggirare l’autenticazione a due fattori man mano che più aziende la implementano. La recente violazione di Twilio, ad esempio, ha illustrato quanto possano essere disastrose le conseguenze quando un’azienda che fornisce servizi di autenticazione a più fattori è esso stesso compromesso. Le organizzazioni che richiedono chiavi di autenticazione fisiche per gli accessi hanno avuto successo nel difendersi da tali attacchi di social engineering remoti.

La frase “zero trust” ha diventa una parola d’ordine a volte insignificante nel settore della sicurezza, ma la violazione di Uber sembra almeno mostrare un esempio di ciò che non è la fiducia zero. Una volta che l’attaccante ha avuto l’accesso iniziale all’interno dell’azienda, afferma di essere stato in grado di accedere alle risorse condivise su la rete che includeva gli script per il programma di gestione e automazione di Microsoft PowerShell. Gli aggressori hanno affermato che uno degli script conteneva credenziali hardcoded per un account amministratore del sistema di gestione degli accessi Thycotic. Con il controllo di questo account, ha affermato l’attaccante, sono stati in grado di ottenere token di accesso per l’infrastruttura cloud di Uber, inclusi Amazon Web Services, GSuite di Google, il dashboard vSphere di VMware, il gestore di autenticazione Duo e il servizio critico di gestione delle identità e degli accessi OneLogin.

1570582547415068672