Cómo un adolescente de 18 años violó Uber sin hackear un solo sistema

El 16 de septiembre fue un día normal en Slack para el personal de Uber. Los miembros del equipo conversaban sobre sus horarios para la semana y las últimas actualizaciones de sus proyectos. Idealmente, un par de canales estaban llenos de las habituales bromas y conversaciones ociosas, mientras que otros estaban en silencio, esperando que alguien rompiera el silencio.

Es seguro decir que nada parecía fuera de lugar. Ni siquiera un nuevo usuario que se había sumado al canal de la empresa. Este usuario usó el nombre 'Nwave' sin una foto de perfil, biografía o descripción del trabajo. Pero nadie pensó mucho en esto, ninguno de los miembros del personal tenía motivos para hacerlo. Los trabajadores modifican perfiles todo el tiempo.

Entonces, sucedió algo más. El recién llegado anunció que habían pirateado los datos de Uber. Según capturas de pantalla publicado en plataformas de redes sociales , el mensaje dice:

Una avalancha de emojis siguió al anuncio: sirenas satíricas, palomitas de maíz relajadas, caras burlonas y alarmas alegres. El descaro del mensaje, para el personal, parecía una broma de TikTok. Pensaron que era una broma e hicieron GIF para recordar la situación. Algunos incluso comenzaron a interactuar con el hacker.

En ese momento, nadie sabía el alcance del ataque y que un intruso de 18 años que había estado aprendiendo ciberseguridad usó Uber como campo de práctica. Más importante aún, el personal no sabía que tales noticias llegarían a las primeras planas de la New York Times , lo que provocó varias alertas de seguridad de los socios y reacciones de la industria de la ciberseguridad.

En primer lugar, ¿cómo ocurrió la violación de Uber? Comencemos por diseccionar el anuncio.

Soy un hacker, y Uber ha sufrido una filtración de datos... '

Un hacker tiene un conocimiento avanzado de los sistemas informáticos y las redes y puede utilizar ese conocimiento para entrar o 'piratear' los sistemas de otras personas. Hay tres tipos de hackers:

• Black Hat : un hacker de sombrero negro utiliza sus habilidades, maliciosamente, para obtener acceso o interrumpir los sistemas informáticos y las redes. Por lo general, lo hacen sin permiso y, a menudo, para causar daño, como robar información o dinero.

• Sombrero blanco: un hacker de sombrero blanco usa sus habilidades para el bien al encontrar fallas de seguridad en los sistemas e informar sobre su reparación antes de que se cause un daño real.

• Sombrero gris: un hacker de sombrero gris realiza actividades de piratería, pero es posible que no tenga motivos maliciosos detrás de sus acciones. En cambio, podrían estar interesados en aprender cómo funcionan las cosas o jugar con nuevas tecnologías para divertirse.

  
  

En un artículo publicado por Instituto de seguridad de la información , existe un beneficio psicológico al perfilar a los piratas informáticos con énfasis en la conciencia de seguridad. Aún así, hay un nivel al que puede llegar el perfilado si debemos desviar la influencia del hacker hacia el hackeado. En el caso de Uber, prevaleció esto último.

No había ningún lugar donde se nombrara al secuestrador. Todo lo que sabemos de él es que es un adolescente (18 años) que afirmó haber aprendido algunas habilidades de ciberseguridad. Pero Uber dice están afiliados a Lapsus$ , un notorio grupo de hackers. Aún así, ¿son sombrero negro, sombrero blanco o sombrero gris? Más detalles lo revelarán. Veamos la brecha.

Una violación o fuga de datos es un incidente de seguridad en el que se produce un acceso no autorizado a los datos. Los datos a los que se accede pueden ser confidenciales, privados o públicos. Un Informe IBM pone el costo total de una violación de datos en los Estados Unidos en $ 4.24 millones en 2022.

Estadísticas reducidas. A estudio comparativo señala a California como el estado que sufre la mayor cantidad de violaciones de datos en los Estados Unidos en los últimos 15 años. Lo preocupante es que Uber tiene su sede en San Francisco, California. Aún así, no podemos juzgar el impacto de la violación o sacar conclusiones sobre el hacker hasta que sepamos qué fue robado o expuesto.

...Slack ha sido robado, datos confidenciales, junto con secretos de zapatillas...'

Slack es una herramienta de comunicación popular para las organizaciones, a menudo llamada "el Facebook corporativo". Es una excelente manera de mantener a todos en su empresa al tanto de los proyectos, ya que ayuda a los equipos a compartir documentos y archivos.

Debido a sus múltiples funciones de colaboración y beneficios de integración, Slack cuenta con más de 10 millones usuarios activos. Además, el 65% de las Fortune 100 pagan por la plataforma, sin olvidar las 750.000 organizaciones, según DMR .

A pesar de sus ventajas, Slack no es inmune a las ciberamenazas. Su crecimiento de usuarios asegura que a menudo sea un objetivo de infiltración por parte de los piratas informáticos. Si los secuestradores no están apuntando a la plataforma en su conjunto, están buscando empresas individuales en la plataforma para violar.

En 2015, holgura sufrida un gran ataque cibernético. El impacto condujo a la adopción de la autenticación de dos factores. Aunque la empresa no ha sido atacada de forma exhaustiva desde entonces, ha servido como puerta trasera para infiltrarse en otras empresas. gigante de las redes sociales, Gorjeo , fue pirateado a través de Slack en 2020; creador de videojuegos, Artes electrónicas , en 2021; y ahora el servicio de transporte compartido, Uber.

En todas estas infracciones, las empresas perdieron varios datos por valor de cientos de dólares. Es lo mismo para Uber. El hacker mencionó haber robado Atlassian Confluence de Uber, datos almacenados llamados stash y dos mono-repos (un solo repositorio con muchos proyectos) del software multiplataforma, Phabricator. Además , compartieron que tenían secretos listos para revelar de las zapatillas y publicaron capturas de pantalla para respaldarlos.

uber, en su informe , confirmó el acceso no autorizado. Redujo el robo a los sistemas de ingeniería y comunicaciones internas, que incluían el servidor de Slack, la consola de AWS, Google Workspace, las máquinas virtuales de VMware, las cuentas de correo electrónico corporativas y, lo que es más importante, el programa de recompensas por errores HackerOne de la empresa, donde los investigadores analizan las vulnerabilidades críticas de TI.

uberunderpaisdrives

Fácilmente, la declaración más profunda en el anuncio es el hashtag #uberunderpaysdrivers , incorrectamente escrito como #uberunderpaysdrives. No es inusual que los piratas informáticos utilicen sus habilidades para provocar un cambio social o económico, o hacer una declaración política. Pero, ¿califica esto la acción de este intruso como sombrero blanco, sombrero negro o sombrero gris?

En la superficie, Uber podría estar pagando menos a los conductores. En 2017, la empresa de transporte compartido admitió haber pagado de menos por accidente ciclistas en la ciudad de Nueva York durante más de dos años. Sin embargo, al analizarlo en profundidad, se sabe que los piratas informáticos se esconden bajo la defensa social para obtener los sentimientos del público.

Así, etiquetar al intruso parece apresurado. Se desconoce el alcance de los daños mientras continúan las investigaciones. No está claro si este pirata informático tuvo acceso a datos confidenciales de clientes y qué planeaba hacer con ellos . Considerando que la(s) persona(s) se han presentado al New York Times e incluso compartió su canal de Telegram para la discusión de sombrero blanco , ser parte de Lapsus $ es sombrero negro para un esquema más grande .

La carne: cómo entró el hacker

Según una serie de tuits de corben leo , CMO Zellic.io, sam curry , ingeniero de seguridad, Yugalabs, y VX-Underground , el hacker usó ingeniería social más fatiga de MFA.

La ingeniería social utiliza la interacción y la manipulación humana para obtener acceso a los sistemas informáticos. Los ingenieros sociales utilizan el engaño, la influencia y la persuasión para engañar a las personas para que entreguen información confidencial, realicen acciones o instalen software que comprometa la seguridad. A menudo se hacen pasar por miembros de la organización o empresa objetivo, o pueden hacerse pasar por otra persona (por ejemplo, un oficial de la ley).

PurpleSec informa que más del 98 % de los ataques cibernéticos se basan en la ingeniería social para mostrar la gravedad de esta forma de ataque.

La fatiga de MFA se refiere a los usuarios que se aburren con la autenticación de múltiples factores (MFA) y finalmente eligen no cumplirla. Ocurre por varias razones, pero la más común es que los usuarios encuentran MFA demasiado inconveniente o molesto. En el caso de Uber, sucedió de esta manera:

• El hacker usó varias técnicas de ingeniería social para comprometer la cuenta de un empleado de Uber (probablemente empleados).
• El atacante envió repetidas notificaciones sobre la necesidad de MFA desde su cuenta. Esto condujo a la fatiga de MFA en el empleado, quien finalmente abandonó el cumplimiento.
• Luego, el atacante envió un mensaje de WhatsApp fingiendo ser miembro de Uber IT, solicitando la aprobación de inicio de sesión. El empleado cumplió y les dio acceso a su cuenta de Slack.
• Desde Slack, el atacante procedió a acceder a los recursos de la red, apuntando a los scripts de PowerShell.
• Uno de los scripts contenía credenciales codificadas para una cuenta de administrador, lo que permitió al atacante obtener acceso a muchos otros sistemas.

La fatiga MFA no es un nuevo vector de ataque: se usó contra MailChimp y Twilio en agosto de este año. De hecho, Uber sufrió un destino similar en 2016, cuando perdió datos confidenciales ante los intrusos.

Lecciones de ciberseguridad de la brecha de Uber

La brecha ha llevado a muchos expertos a opinar sobre lo que las empresas pueden hacer para evitar que este tipo de ataques ocurran en el futuro. A continuación se presentan lecciones preliminares de expertos en seguridad cibernética en CyberWire:

#1. Los atacantes tienen ventaja

Jai Dargan, jefe de personal de Axio, nos recordó nuevamente que los ataques son inevitables. Aunque no sabemos quién está detrás de este ataque, es seguro asumir que están bien financiados y altamente motivados. Para resaltar el impacto, el Informe de información del Foro Económico Mundial colocó los ataques cibernéticos y el fraude de datos en tercer lugar en el panorama más preocupante para las empresas.

El truco también nos da una idea de cómo han evolucionado los atacantes. Jyoti Bansal, cofundador y director ejecutivo de Traceable AI, dijo: "La violación de Uber es un ejemplo de cómo los atacantes tienen tanta ventaja sobre los defensores y cómo han evolucionado sus objetivos". Los atacantes ya no buscan una ganancia rápida como lo hacían en el pasado. Ahora, están tratando de robar datos para uso futuro, y eso significa que los defensores tienen que igualar el enfoque.

#2. MFA no es suficiente

La autenticación multifactorial (MFA) ha sido el estándar durante años. Sin embargo, ya no es confiable, dadas todas las formas en que los atacantes pueden eludirlo. CyberArk realizó un análisis y encontró al menos cuatro formas en que podrían eludir la MFA o disminuir sus beneficios. El resultado apunta al hecho de que MFA, solo, no es suficiente.

En cambio, Darryl Athans, vicepresidente de América del Norte en SENHASEGURA, quiere que las organizaciones incluyan gestión de acceso privilegiado (PAM) y análisis de comportamiento de usuarios y entidades (UEBA) en su MFA. El primero garantiza que solo los usuarios autorizados tengan acceso a datos confidenciales. Este último monitorea el comportamiento del usuario y detecta anomalías para identificar amenazas potenciales antes de que se conviertan en un problema.

#3. Los vínculos humanos son débiles.

La violación de Uber sirve como un recordatorio de que los humanos son algunos de los eslabones más débiles de cualquier sistema de seguridad. Una contraseña segura y la autenticación de dos factores no son suficientes cuando alguien puede llamar a su compañía de telefonía celular y hacerse pasar por usted. El ex almirante director de la NSA, Michael S. Rogers, cree que la solución es aumentar la conciencia de seguridad de los usuarios. A continuación se proponen formas de lograrlo:

• Eduque a sus usuarios sobre los riesgos de la ingeniería social y cómo evitarlos.

• Asegúrese de que sus empleados se tomen el tiempo para cambiar sus contraseñas regularmente y use un administrador de contraseñas seguro para ayudarlos a hacerlo.

• Cree una campaña de concientización sobre la fatiga de MFA, que incluya información sobre qué es, su impacto en la ciberseguridad y lo que pueden hacer.

• Entrene a sus empleados en el reconocimiento de notificaciones de phishing. Esto les ayudará a detectar alertas maliciosas antes de que se enamoren de ellas.

  
  

#4. La confianza cero es una necesidad

Otra lección es la necesidad de eliminar la confianza implícita verificando y validando cada etapa del proceso de seguridad. Hacer esto se conoce como confianza cero y, según un informe de IBM , ayuda a reducir costos. A menudo, es $ 1.76 millones menos en las empresas que adoptan la confianza cero en comparación con las que no adoptan.

John Dasher, vicepresidente de marketing de productos de Banyan Security, cree que la solución es reforzar las debilidades humanas con tecnología sólida de confianza cero. Al adoptar una estrategia de confianza cero, usar el principio de acceso con privilegios mínimos y emplear la confianza del dispositivo, puede ayudar a eliminar el juicio humano de la ecuación.

¿Qué sigue para Uber después de la brecha?

Uber ha anunciado que traerá de vuelta su herramienta de software interna después de eliminarla como medida de precaución tras la violación. Los servicios ya están operativos. En su último informe, dijo que no se comprometieron datos confidenciales de los usuarios. Sin embargo, los expertos creían que la brecha era un acceso profundo.

De acuerdo a un estudio de Comparitech , las empresas que sufren infracciones tienen un rendimiento inferior en el mercado debido a la mala percepción de la marca. La brecha ya ha afectado el desempeño de Uber en el mercado. Comprobando el martes, (NYSE: UBER) las acciones cotizaron a la baja en un 0,35% a $31,38 antes de la comercialización. Queda por ver cómo Uber maneja esta situación, si pueden o no recuperarse lo suficientemente rápido para los inversores y clientes por igual.

Actualizado

La policía británica arrestó al presunto pirata informático detrás de la violación de Uber, cuyo nombre se reveló como Tea Pot (también conocido como teapotuberhacker). Se dice que el joven tiene alrededor de 17 años y no tiene 18 como se creía anteriormente.

Según un tuit de la policía de la ciudad de Londres , fue arrestado en Oxfordshire junto con otros siete adolescentes. El hacker usó "Breachbase" y "White" como sus alias en línea. Los informes dicen que había ganado alrededor de $ 14 millones con delitos cibernéticos.