कैसे एक 18 साल के किशोर ने एक भी सिस्टम हैक किए बिना उबर का उल्लंघन किया

उबेर कर्मचारियों के लिए 16 सितंबर स्लैक में एक नियमित दिन था। टीम के सदस्य सप्ताह के लिए अपने कार्यक्रम और अपनी परियोजनाओं के नवीनतम अपडेट के बारे में बातचीत कर रहे थे। आदर्श रूप से, कुछ चैनल सामान्य मज़ाक और बेकार की बातचीत से भरे हुए थे, जबकि अन्य चुप थे - किसी के चुप्पी तोड़ने की प्रतीक्षा कर रहे थे।

कहने के लिए सुरक्षित, कुछ भी जगह से बाहर नहीं लग रहा था। कोई नया यूजर भी नहीं जो कंपनी के चैनल से जुड़ा हो। इस उपयोगकर्ता ने प्रोफ़ाइल चित्र, जीवनी, या कार्य विवरण के बिना 'Nwave' नाम का उपयोग किया। लेकिन किसी ने इस बारे में ज्यादा नहीं सोचा- किसी भी कर्मचारी के पास इसका कारण नहीं था। कार्यकर्ता हर समय प्रोफाइल संशोधित करते हैं।

फिर हुआ कुछ और। नवागंतुक ने घोषणा की कि उन्होंने उबर के डेटा को हैक कर लिया है। स्क्रीनशॉट के अनुसार सोशल मीडिया प्लेटफॉर्म पर पोस्ट किया गया , संदेश पढ़ता है:

घोषणा के बाद इमोजी की बाढ़ आ गई- व्यंग्यपूर्ण सायरन, शांतचित्त पॉपकॉर्न, मज़ाक करने वाले चेहरे और हल्के-फुल्के अलार्म। कर्मचारियों को संदेश की बेशर्मी, एक टिकटॉक शरारत की तरह लग रही थी। उन्होंने सोचा कि यह एक मजाक था और स्थिति को याद करने के लिए जीआईएफ बनाया। कुछ ने हैकर के साथ इंटरैक्ट भी करना शुरू कर दिया।

उस समय, कोई भी हैक की सीमा को नहीं जानता था और एक 18 वर्षीय घुसपैठिए जो साइबर सुरक्षा सीख रहा था, ने उबेर को अभ्यास मैदान के रूप में इस्तेमाल किया। इससे भी महत्वपूर्ण बात यह है कि कर्मचारियों को यह नहीं पता था कि इस तरह की खबरें अखबार के पहले पन्ने तक पहुंच जाएंगी न्यूयॉर्क टाइम्स , साइबर सुरक्षा उद्योग से भागीदारों और प्रतिक्रियाओं से कई सुरक्षा अलर्ट का संकेत देता है।

सबसे पहले, उबेर उल्लंघन कैसे हुआ? आइए घोषणा को विच्छेदित करके शुरू करें।

मैं एक हैकर हूं, और उबर को डेटा ब्रीच का सामना करना पड़ा है... '

एक हैकर को कंप्यूटर सिस्टम और नेटवर्क का उन्नत ज्ञान होता है और वह उस ज्ञान का उपयोग अन्य लोगों के सिस्टम में सेंध लगाने या 'हैक' करने के लिए कर सकता है। हैकर्स तीन प्रकार के होते हैं:

• ब्लैक हैट : एक ब्लैक हैट हैकर अपने कौशल का उपयोग दुर्भावनापूर्ण तरीके से, कंप्यूटर सिस्टम और नेटवर्क तक पहुंच प्राप्त करने या अन्यथा बाधित करने के लिए करता है। वे आमतौर पर बिना अनुमति के ऐसा करते हैं और अक्सर नुकसान पहुंचाते हैं, जैसे कि जानकारी या धन की चोरी करना।

• व्हाइट हैट: एक व्हाइट हैट हैकर सिस्टम में सुरक्षा खामियों का पता लगाकर और वास्तविक नुकसान होने से पहले उनके फिक्सिंग की रिपोर्ट करके अपने कौशल का उपयोग अच्छे के लिए करता है।

• ग्रे हैट: एक ग्रे हैट हैकर हैकिंग गतिविधियां करता है लेकिन उनके कार्यों के पीछे दुर्भावनापूर्ण उद्देश्य नहीं हो सकते हैं। इसके बजाय, उन्हें यह जानने में दिलचस्पी हो सकती है कि चीजें कैसे काम करती हैं या मनोरंजन के लिए नई तकनीक के साथ खेल रही हैं।

  
  

द्वारा प्रकाशित एक लेख में इन्फोसेक संस्थान , सुरक्षा जागरूकता पर जोर देने के साथ हैकर्स की प्रोफाइलिंग करने का एक मनोवैज्ञानिक लाभ है। फिर भी, यदि हम हैकर से हैक किए गए प्रभाव को हटाना चाहते हैं तो प्रोफाइलिंग एक स्तर तक जा सकती है। उबेर के मामले में, बाद वाला प्रबल हुआ।

अपहरणकर्ता का कहीं नाम नहीं था। हम उसके बारे में केवल इतना जानते हैं कि वे एक किशोर (18 वर्ष) हैं, जिन्होंने दावा किया है कि उन्होंने अभी-अभी कुछ साइबर सुरक्षा कौशल सीखे हैं। परंतु उबेर कहते हैं वे से संबद्ध हैं लैप्सस$ , एक कुख्यात हैकिंग समूह। फिर भी, क्या वे ब्लैक-हैट, व्हाइट-हैट या ग्रे-हैट हैं? आगे के विवरण से यह पता चलेगा। आइए उल्लंघन को देखें।

डेटा उल्लंघन या रिसाव एक सुरक्षा घटना है जिसमें डेटा तक अनधिकृत पहुंच होती है। एक्सेस किया गया डेटा गोपनीय, निजी या सार्वजनिक हो सकता है। एक आईबीएम रिपोर्ट 2022 में संयुक्त राज्य अमेरिका में डेटा उल्लंघन की कुल लागत $4.24 मिलियन है।

आँकड़े संकुचित हो गए। ए तुलनात्मक अध्ययन कैलिफ़ोर्निया को 15 वर्षों के भीतर संयुक्त राज्य में सबसे अधिक डेटा उल्लंघनों से पीड़ित राज्य के रूप में इंगित करता है। चिंताजनक रूप से, उबर सैन फ्रांसिस्को, कैलिफ़ोर्निया में स्थित है। फिर भी, हम उल्लंघन के प्रभाव का न्याय नहीं कर सकते या हैकर के बारे में तब तक निष्कर्ष नहीं निकाल सकते जब तक हमें यह पता नहीं चल जाता कि क्या चुराया गया था या उजागर किया गया था।

...स्लैक चोरी हो गया है, गोपनीय डेटा, स्नीकर्स के रहस्यों के साथ...'

स्लैक संगठनों के लिए एक लोकप्रिय संचार उपकरण है, जिसे अक्सर 'कॉर्पोरेट फेसबुक' कहा जाता है। यह आपकी कंपनी के सभी लोगों को परियोजनाओं के बारे में जानकारी रखने का एक शानदार तरीका है क्योंकि यह टीमों को दस्तावेज़ और फ़ाइलें साझा करने में मदद करता है।

अपनी कई सहयोग सुविधाओं और एकीकरण लाभों के कारण, स्लैक दावा करता है 10 मिलियन से अधिक सक्रिय उपयोगकर्ता। इसके अतिरिक्त, फॉर्च्यून 100 का 65% प्लेटफॉर्म के लिए भुगतान करता है, 750,000 संगठनों को नहीं भूलना, के अनुसार डीएमआर .

इसके लाभों के बावजूद, स्लैक साइबर खतरों से सुरक्षित नहीं है। इसकी उपयोगकर्ता वृद्धि सुनिश्चित करती है कि यह अक्सर हैकर्स द्वारा घुसपैठ का लक्ष्य होता है। यदि अपहर्ता संपूर्ण रूप से प्लेटफ़ॉर्म को लक्षित नहीं कर रहे हैं, तो वे उल्लंघन करने के लिए प्लेटफ़ॉर्म पर अलग-अलग कंपनियों की तलाश कर रहे हैं।

2015 में, सुस्त का सामना करना पड़ा एक बड़ा साइबर हमला। प्रभाव ने दो-कारक प्रमाणीकरण को अपनाया। हालाँकि तब से कंपनी का व्यापक रूप से उल्लंघन नहीं हुआ है, लेकिन इसने अन्य कंपनियों में घुसपैठ के लिए पिछले दरवाजे के रूप में काम किया है। सोशल मीडिया दिग्गज, ट्विटर , 2020 में स्लैक के माध्यम से हैक किया गया था; वीडियो गेम मेकर, इलेक्ट्रॉनिक आर्ट , 2021 में; और अब राइड-हेलिंग सेवा, उबेर।

इन सभी उल्लंघनों में, कंपनियों ने सैकड़ों डॉलर के कई डेटा टुकड़े खो दिए। उबर के लिए भी ऐसा ही है। हैकर ने क्रॉस-प्लेटफ़ॉर्म सॉफ़्टवेयर, फ़ैब्रिकेटर से उबेर के एटलसियन कॉन्फ्लुएंस, संग्रहीत डेटा जिसे स्टैश कहा जाता है, और दो मोनो-रेपो (कई परियोजनाओं के साथ एक एकल भंडार) चोरी करने का उल्लेख किया। उन्होंने आगे साझा किया कि उनके पास स्नीकर्स से तैयार-टू-स्पिल रहस्य थे और उनका बैकअप लेने के लिए स्क्रीनशॉट पोस्ट किए।

उबेर, इसकी रिपोर्ट में , अनधिकृत पहुंच की पुष्टि की। इसने आंतरिक संचार और इंजीनियरिंग सिस्टम की चोरी को कम कर दिया, जिसमें स्लैक सर्वर, AWS कंसोल, Google वर्कस्पेस, VMware वर्चुअल मशीन, कॉर्पोरेट ईमेल अकाउंट और सबसे महत्वपूर्ण कंपनी का HackerOne बग बाउंटी प्रोग्राम शामिल था, जहां शोधकर्ता महत्वपूर्ण आईटी कमजोरियों पर चर्चा करते हैं।

uberunderpaisdrives

आसानी से घोषणा में सबसे गहरा बयान हैशटैग #uberunderpaysdrivers है, जिसे गलत तरीके से #uberunderpaisdrives लिखा गया है। हैकर्स के लिए अपने कौशल का उपयोग सामाजिक या आर्थिक परिवर्तन करने, या राजनीतिक बयान देने के लिए करना असामान्य नहीं है। लेकिन क्या यह इस घुसपैठिए की कार्रवाई को सफेद-टोपी, काली-टोपी, या ग्रे-टोपी के रूप में योग्य बनाता है?

सतह पर, उबेर कम भुगतान करने वाले ड्राइवर हो सकते हैं। 2017 में, सवारी करने वाली कंपनी गलती से कम भुगतान करने के लिए स्वीकार किया गया न्यूयॉर्क शहर में दो साल से अधिक समय से सवार हैं। हालांकि, इसमें गहराई से देखने पर, हैकर्स को सार्वजनिक भावनाओं को हासिल करने के लिए सामाजिक वकालत के तहत छिपाने के लिए जाना जाता है।

इस प्रकार, घुसपैठिए को लेबल करना जल्दबाजी में लगता है। क्षति की सीमा अज्ञात है क्योंकि जांच जारी है। क्या इस हैकर की संवेदनशील ग्राहक डेटा तक पहुंच थी और उन्होंने इसके साथ क्या करने की योजना बनाई, यह स्पष्ट नहीं है। जबकि व्यक्ति (व्यक्तियों) ने खुद को न्यूयॉर्क टाइम्स और यहां तक कि प्रस्तुत किया है अपना टेलीग्राम चैनल साझा किया व्हाइट-हैट चर्चा के लिए, लैप्सस$ का हिस्सा होना एक बड़ी योजना के लिए ब्लैक-हैट है ।

मांस: हैकर कैसे घुस गया

ट्वीट्स की एक श्रृंखला के अनुसार कॉर्बेन लियो , सीएमओ Zellic.io, सैम करी , सुरक्षा अभियंता, युगलैब्स, और वीएक्स-अंडरग्राउंड , हैकर ने सोशल इंजीनियरिंग और एमएफए थकान का इस्तेमाल किया।

कंप्यूटर सिस्टम तक पहुंच प्राप्त करने के लिए सोशल इंजीनियरिंग मानव संपर्क और हेरफेर का उपयोग करती है। सामाजिक इंजीनियर लोगों को गोपनीय जानकारी देने, कार्रवाई करने, या सुरक्षा से समझौता करने वाले सॉफ़्टवेयर स्थापित करने के लिए छल, प्रभाव और अनुनय का उपयोग करते हैं। वे अक्सर लक्ष्य संगठन या कंपनी के सदस्य के रूप में पोज़ देते हैं, या वे पूरी तरह से किसी और के रूप में पोज़ दे सकते हैं (उदाहरण के लिए, एक कानून प्रवर्तन अधिकारी)।

पर्पलसेक की रिपोर्ट है कि इस प्रकार के हमले की गंभीरता दिखाने के लिए 98% से अधिक साइबर हमले सोशल इंजीनियरिंग पर निर्भर हैं।

एमएफए थकान उपयोगकर्ताओं को बहु-कारक प्रमाणीकरण (एमएफए) से ऊबने और अंततः इसका पालन न करने का चयन करने के लिए संदर्भित करता है। यह कई कारणों से होता है, लेकिन सबसे आम यह है कि उपयोगकर्ताओं को एमएफए बहुत असुविधाजनक या कष्टप्रद लगता है। उबेर के मामले में, ऐसा हुआ:

• हैकर ने एक Uber कर्मचारी (शायद कर्मचारियों के) खाते से छेड़छाड़ करने के लिए कई सोशल इंजीनियरिंग तकनीकों का इस्तेमाल किया।
• हमलावर ने अपने खाते से एमएफए की आवश्यकता के बारे में बार-बार सूचनाएं भेजीं। इससे कर्मचारी में एमएफए थकान हो गई, जिसने अंततः अनुपालन छोड़ दिया।
• इसके बाद हमलावर ने उबर आईटी का सदस्य होने का दिखावा करते हुए एक व्हाट्सएप संदेश भेजा, जिसमें लॉगिन की मंजूरी मांगी गई थी। कर्मचारी ने अनुपालन किया और उन्हें अपने स्लैक खाते तक पहुंच प्रदान की।
• स्लैक से, हमलावर पावरशेल स्क्रिप्ट को लक्षित करते हुए, नेटवर्क संसाधनों तक पहुंचने के लिए आगे बढ़ा।
• स्क्रिप्ट में से एक में व्यवस्थापक खाते के लिए हार्ड-कोडेड क्रेडेंशियल शामिल थे, जो हमलावर को कई अन्य प्रणालियों तक पहुंच प्राप्त करने की अनुमति देता था।

एमएफए थकान एक नया हमला वेक्टर नहीं है-इसका इस्तेमाल इसके खिलाफ किया गया था MailChimp तथा ट्विलियो इस साल अगस्त में। वास्तव में, उबर को 2016 में भी इसी तरह का नुकसान हुआ था, जब उसने घुसपैठियों के लिए संवेदनशील डेटा खो दिया था।

Uber उल्लंघन से साइबर सुरक्षा का सबक

उल्लंघन ने कई विशेषज्ञों को अपनी राय देने के लिए प्रेरित किया है कि भविष्य में इस प्रकार के हमलों को रोकने के लिए कंपनियां क्या कर सकती हैं। साइबरवायर पर साइबर सुरक्षा विशेषज्ञों से प्राप्त प्रारंभिक पाठ नीचे दिए गए हैं:

# 1। हमलावरों के पास बढ़त है

एक्सियो में चीफ ऑफ स्टाफ जय दरगन ने हमें फिर से याद दिलाया कि हमले अपरिहार्य हैं। हालांकि हम नहीं जानते कि इस हमले के पीछे कौन है, यह मान लेना सुरक्षित है कि वे अच्छी तरह से वित्त पोषित और अत्यधिक प्रेरित हैं। प्रभाव को उजागर करने के लिए, विश्व आर्थिक मंच अंतर्दृष्टि रिपोर्ट साइबर हमलों और डेटा धोखाधड़ी को कंपनियों के लिए सबसे चिंताजनक दृष्टिकोण में तीसरे स्थान पर रखा।

हैक हमें इस बात की भी झलक देता है कि हमलावर कैसे विकसित हुए हैं। ट्रेसेबल एआई के सह-संस्थापक और सीईओ ज्योति बंसल ने कहा, 'उबेर ब्रीच इस बात का एक उदाहरण है कि कैसे हमलावरों की डिफेंडरों पर इतनी बढ़त है, और उनके लक्ष्य कैसे विकसित हुए हैं।' हमलावर अब पहले की तरह त्वरित लाभ की तलाश में नहीं हैं। अब, वे भविष्य में उपयोग के लिए डेटा चोरी करने की कोशिश कर रहे हैं- और इसका मतलब है कि रक्षकों को दृष्टिकोण से मेल खाना पड़ेगा।

#2. एमएफए पर्याप्त नहीं है

मल्टीफैक्टोरियल ऑथेंटिकेशन (एमएफए) वर्षों से मानक रहा है। हालाँकि, यह अब विश्वसनीय नहीं है, यह देखते हुए कि हमलावर इसे बायपास कर सकते हैं। साइबरआर्क ने एक विश्लेषण किया और कम से कम चार तरीके खोजे जिससे वे एमएफए को दरकिनार कर सकते हैं या इसके लाभों को कम कर सकते हैं। परिणाम इस तथ्य की ओर इशारा करते हैं कि केवल एमएफए पर्याप्त नहीं है।

इसके बजाय, सेनहसेगुरा में उत्तरी अमेरिका के उपाध्यक्ष डैरिल एथन चाहते हैं कि संगठन अपने एमएफए में विशेषाधिकार प्राप्त पहुंच प्रबंधन (पीएएम) और उपयोगकर्ता और इकाई व्यवहार विश्लेषण (यूईबीए) शामिल करें। पूर्व सुनिश्चित करता है कि केवल अधिकृत उपयोगकर्ताओं के पास संवेदनशील डेटा तक पहुंच हो। बाद वाला उपयोगकर्ता के व्यवहार पर नज़र रखता है और समस्या बनने से पहले संभावित खतरों की पहचान करने के लिए विसंगतियों का पता लगाता है।

#3. मानवीय संबंध कमजोर हैं

उबेर उल्लंघन एक अनुस्मारक के रूप में कार्य करता है कि मनुष्य किसी भी सुरक्षा प्रणाली में सबसे कमजोर कड़ी हैं। एक मजबूत पासवर्ड और दो-कारक प्रमाणीकरण पर्याप्त नहीं हैं जब कोई आपकी सेल फोन कंपनी को कॉल कर सकता है और आपके जैसा बना सकता है। एनएसए के पूर्व निदेशक एडमिरल, माइकल एस. रोजर्स का मानना है कि इसका समाधान उपयोगकर्ता सुरक्षा जागरूकता बढ़ाना है। इसे प्राप्त करने के लिए प्रस्तावित तरीके यहां दिए गए हैं:

• अपने उपयोगकर्ताओं को सामाजिक इंजीनियरिंग जोखिमों और उनसे बचने के तरीके के बारे में शिक्षित करें।

• सुनिश्चित करें कि आपके कर्मचारी नियमित रूप से अपना पासवर्ड बदलने में समय लेते हैं और ऐसा करने में उनकी मदद करने के लिए एक सुरक्षित पासवर्ड मैनेजर का उपयोग करते हैं।

• एमएफए थकान के बारे में जागरूकता अभियान बनाएं, जिसमें यह जानकारी शामिल है कि यह क्या है, साइबर सुरक्षा पर इसका प्रभाव, और वे क्या कर सकते हैं।

• फ़िशिंग सूचनाओं को पहचानने के लिए अपने कर्मचारियों को प्रशिक्षित करें। इससे उन्हें दुर्भावनापूर्ण चेतावनियों को पकड़ने में मदद मिलेगी, इससे पहले कि वे उनके शिकार हों।

  
  

#4. जीरो ट्रस्ट एक आवश्यकता है

एक और सबक सुरक्षा प्रक्रिया के हर चरण को सत्यापित और मान्य करके निहित विश्वास को खत्म करने की आवश्यकता है। ऐसा करना जीरो ट्रस्ट के रूप में जाना जाता है, और के अनुसार आईबीएम की एक रिपोर्ट , यह लागत को कम करने में मदद करता है। गैर-गोद लेने वाली कंपनियों की तुलना में शून्य-विश्वास-अपनाने वाली कंपनियों में यह अक्सर $ 1.76 मिलियन कम है।

बरगद सिक्योरिटी में प्रोडक्ट मार्केटिंग के वीपी जॉन डैशर का मानना है कि इसका समाधान साउंड ज़ीरो ट्रस्ट तकनीक के साथ मानवीय कमजोरियों को दूर करना है। शून्य ट्रस्ट रणनीति अपनाकर, कम से कम विशेषाधिकार पहुंच के सिद्धांत का उपयोग करके, और डिवाइस ट्रस्ट को नियोजित करके, आप मानवीय निर्णय को समीकरण से बाहर निकालने में मदद कर सकते हैं।

उल्लंघन के बाद उबर के लिए आगे क्या है?

उबेर ने घोषणा की है कि उल्लंघन के बाद एहतियात के तौर पर इसे नीचे ले जाने के बाद वह अपने आंतरिक सॉफ्टवेयर टूल को वापस ला रहा है। सेवाएं अब चालू हैं। अपनी नवीनतम रिपोर्ट में, इसने कहा कि किसी भी संवेदनशील उपयोगकर्ता डेटा से समझौता नहीं किया गया था। हालांकि, विशेषज्ञों का मानना था कि उल्लंघन गहरी पहुंच थी।

के अनुसार Comparitech द्वारा एक अध्ययन , कंपनियां जो उल्लंघनों का शिकार होती हैं, खराब ब्रांड धारणा के कारण बाजार में खराब प्रदर्शन करती हैं। उल्लंघन ने पहले ही बाजार में उबर के प्रदर्शन को प्रभावित किया है। मंगलवार को जाँच, (एनवाईएसई: UBER) शेयर 0.35% की गिरावट के साथ 31.38 डॉलर के प्रीमार्केट में कारोबार कर रहे थे। यह देखा जाना बाकी है कि उबेर इस स्थिति को कैसे संभालता है - वे निवेशकों और ग्राहकों के लिए समान रूप से पर्याप्त रूप से वापस उछाल सकते हैं या नहीं।

अद्यतन

ब्रिटिश पुलिस ने उबर ब्रीच के पीछे कथित हैकर को गिरफ्तार कर लिया है, जिसका नाम टी पॉट (उर्फ टीपोटबेरहैकर) बताया गया है। युवक की उम्र करीब 17 साल बताई जा रही है और वह 18 साल का नहीं है जैसा कि पहले माना जा रहा था।

सिटी ऑफ़ लंदन पुलिस के एक ट्वीट के अनुसार, उन्हें सात अन्य किशोरों के साथ ऑक्सफ़ोर्डशायर में गिरफ्तार किया गया था। हैकर ने अपने ऑनलाइन उपनाम के रूप में "ब्रीचबेस" और "व्हाइट" का इस्तेमाल किया। रिपोर्ट्स में कहा गया है कि उसने साइबर क्राइम से करीब 14 मिलियन डॉलर कमाए थे।