18 歳の 10 代の若者が、システムを 1 つもハッキングせずに Uber に侵入した方法

9 月 16 日は、Uber のスタッフにとって Slack での通常の日でした。チーム メンバーは、その週のスケジュールやプロジェクトの最新情報についてチャットしていました。理想的には、2、3 のチャンネルはいつもの冗談やつまらない会話で満たされ、他のチャンネルは静かで、誰かが沈黙を破るのを待っていました。

言うまでもなく、何も場違いに見えませんでした。同社のチャネルに参加した新しいユーザーでさえありません。このユーザーは、プロフィール写真、経歴、または仕事の説明なしで「Nwave」という名前を使用しました。しかし、誰もこのことを深く考えていませんでした。ワーカーは常にプロファイルを変更します。

その後、別のことが起こりました。この新参者は、Uber のデータをハッキングしたと発表しました。スクリーンショットによるとソーシャル メディア プラットフォームに投稿された、メッセージは次のとおりです。

アナウンスに続いて、風刺的なサイレン、ゆったりとしたポップコーン、からかう顔、気さくなアラームなど、絵文字の大洪水が続きました。スタッフにとって、メッセージの厚かましさは、TikTokのいたずらのように見えました.彼らは冗談だと思い、その状況をミーム化するために GIF を作成しました。ハッカーとやり取りを始めた人もいます。

その時点では、誰もハッキングの規模を知らず、サイバーセキュリティを学んでいた 18 歳の侵入者が練習場として Uber を使用していたこともわかりました。さらに重要なことに、スタッフはそのようなニュースが新聞の一面を飾ることになるとは知らなかった。ニューヨーク・タイムズ、パートナーからのいくつかのセキュリティ警告とサイバーセキュリティ業界からの反応を促します.

まず、Uber の侵害はどのように発生したのですか?発表を分析することから始めましょう。

私はハッカーであり、Uber はデータ侵害を受けました... 」

ハッカーは、コンピュータ システムとネットワークに関する高度な知識を持っており、その知識を利用して、他人のシステムに侵入したり「ハッキング」したりできます。ハッカーには次の 3 種類があります。

• ブラック ハット: ブラック ハット ハッカーは、自分のスキルを悪意を持って使用して、コンピュータ システムやネットワークにアクセスしたり、妨害したりします。彼らは通常、無許可で行い、情報や金銭を盗むなどの危害を加えることがよくあります。

• ホワイト ハット:ホワイト ハット ハッカーは、システムのセキュリティ上の欠陥を発見し、実際の被害が発生する前に修正を報告することで、自分のスキルを善のために使用します。

• グレイ ハット:グレイ ハット ハッカーはハッキング活動を行いますが、その行動の背後に悪意のある動機がない場合があります。代わりに、物事がどのように機能するかを学んだり、楽しみのために新しいテクノロジーをいじったりすることに興味があるかもしれません。

  
  

が発行した記事では、 インフォセック研究所、セキュリティ意識に重点を置いてハッカーをプロファイリングすることには、心理的な利点があります。それでも、ハッカーからハッキングされた人への影響をそらさなければならない場合、プロファイリングが進むことができるレベルがあります. Uber の場合、後者が優勢でした。

ハイジャッカーの名前がどこにもありませんでした。彼について私たちが知っているのは、彼らがサイバーセキュリティのスキルを学んだばかりだと主張するティーンエイジャー (18 歳) だということだけです。しかしユーバー 言う彼らはと提携していますラプサス$ 、悪名高いハッキング グループ。それでも、彼らはブラック ハットですか、ホワイト ハットですか、それともグレー ハットですか?さらなる詳細はそれを明らかにします。違反を見てみましょう。

データ侵害または漏洩は、データへの不正アクセスが発生するセキュリティ インシデントです。アクセスされるデータは、機密、プライベート、またはパブリックの場合があります。アンIBMレポートは、2022 年に米国で発生したデータ侵害の総コストを 424 万ドルと見積もっています。

統計が絞り込まれました。あ比較検討は、15 年以内に米国で最も多くのデータ漏えいを被った州としてカリフォルニアを挙げています。心配なことに、Uber はカリフォルニア州サンフランシスコに拠点を置いています。それでも、何が盗まれたり公開されたりしたかを知るまで、侵害の影響を判断したり、ハッカーについて結論付けたりすることはできません.

...Slack が盗まれました。機密データとスニーカーの秘密が…」

Slack は組織で人気のあるコミュニケーション ツールであり、「企業の Facebook」と呼ばれることがよくあります。チームがドキュメントやファイルを共有するのに役立つため、社内の全員がプロジェクトの最新情報を共有できる優れた方法です。

複数のコラボレーション機能と統合の利点により、Slack は1000万以上アクティブ ユーザー。さらに、フォーチュン 100 の 65% がプラットフォームの料金を支払っており、750,000 の組織も忘れていません。 DMR .

その利点にもかかわらず、Slack はサイバー脅威の影響を受けません。ユーザーの増加により、ハッカーによる侵入の標的になることがよくあります。ハイジャッカーがプラットフォーム全体を標的としていない場合は、プラットフォーム上の個々の企業を調べて侵害します。

2015年、たるみが苦しんだ大規模なサイバー攻撃。この影響により、2 要素認証が採用されるようになりました。それ以来、同社は包括的な侵害を受けていませんが、他の企業に侵入するための裏口として機能しています.ソーシャルメディアの巨人、ツイッター、2020 年に Slack を通じてハッキングされました。ビデオゲームメーカー、エレクトロニック・アーツ、2021年。そして今、配車サービスのUber。

これらすべての侵害で、企業は数百ドル相当のデータをいくつか失いました。ウーバーも同じです。ハッカーは、Uber の Atlassian Confluence、 stashと呼ばれる保存データ、およびクロスプラットフォーム ソフトウェア Phabricator から 2 つのモノレポ (多くのプロジェクトを含む単一のリポジトリ) を盗んだことに言及しました。彼らはさらに、スニーカーからこぼれそうな秘密を共有し、それらをバックアップするスクリーンショットを投稿しました.

ユーバー、そのレポートで、不正アクセスを確認しました。 Slack サーバー、AWS コンソール、Google Workspace、VMware 仮想マシン、企業の電子メール アカウント、そして最も重要なこととして、研究者が重大な IT 脆弱性について話し合う会社の HackerOne バグ報奨金プログラムを含む、内部通信およびエンジニアリング システムにまで窃盗を切り詰めました。

uberunderpais ドライブ

今回の発表で最も重要な声明は、ハッシュタグ#uberunderpaysdriversで、間違って #uberunderpaisdrives と綴られています。ハッカーが自分のスキルを使って社会的または経済的な変化を引き起こしたり、政治的な声明を発表したりすることは珍しくありません。しかし、これはこの侵入者の行動をホワイト ハット、ブラック ハット、またはグレー ハットとして認定するのでしょうか?

表面的には、Uber はドライバーに低賃金を支払っている可能性があります。 2017 年、配車会社誤って過小払いしたことを認めたニューヨーク市で 2 年以上のライダー。しかし、詳しく調べてみると、ハッカーは社会的支持の下に隠れて世論を得ることが知られています。

したがって、侵入者にラベルを付けるのは急いでいるようです。調査が続けられているため、損傷の程度は不明です。このハッカーが顧客の機密データにアクセスしたかどうか、またそれをどうするつもりだったかは不明のままです。その人物はニューヨークタイムズに姿を現し、さらには テレグラムチャンネルを 共有しましたホワイトハットの議論では、Lapsus$ の一部であることは、より大きなスキームのブラックハットです。

要点: ハッカーが侵入した方法

一連のツイートによると、 コーベン・レオ、CMO Zellic.io、 サム・カリー、セキュリティ エンジニア、Yugalabs、およびVX-アンダーグラウンド、ハッカーはソーシャル エンジニアリングと MFA 疲労を使用しました。

ソーシャル エンジニアリングは、人間の相互作用と操作を使用して、コンピューター システムへのアクセスを取得します。ソーシャル エンジニアは、欺瞞、影響力、説得力を利用して、人々をだまして機密情報を放棄させたり、行動を起こさせたり、セキュリティを侵害するソフトウェアをインストールさせたりします。多くの場合、対象の組織や企業のメンバーを装ったり、まったく別の人物 (法執行官など) を装ったりする場合があります。

PurpleSec は、サイバー攻撃の 98% 以上がソーシャル エンジニアリングに依存しており、この形式の攻撃の重大性を示していると報告しています。

MFA 疲労とは、ユーザーが多要素認証 (MFA) に飽きてしまい、最終的に MFA に準拠しないことを選択することを指します。これはいくつかの理由で発生しますが、最も一般的な理由は、ユーザーが MFA を不便または煩わしく感じていることです。 Uber の場合は、次のようになりました。

• ハッカーは、いくつかのソーシャル エンジニアリング手法を使用して、Uber の従業員 (おそらく従業員) のアカウントを侵害しました。
• 攻撃者は、アカウントから MFA の必要性に関する通知を繰り返し送信しました。これは従業員の MFA 疲労につながり、最終的にコンプライアンスをあきらめました。
• 次に攻撃者は、Uber IT のメンバーになりすまして WhatsApp メッセージを送信し、ログインの承認を求めました。従業員は従い、Slack アカウントへのアクセスを許可しました。
• 攻撃者は、Slack からネットワーク リソースにアクセスし、PowerShell スクリプトを標的にしました。
• スクリプトの 1 つには、管理者アカウントの資格情報がハードコーディングされていたため、攻撃者は他の複数のシステムにアクセスできました。

MFA 疲労は新しい攻撃ベクトルではありません。メールチンプとツイリオ今年の8月。実際、Uber は 2016 年に同様の運命をたどり、侵入者によって機密データが失われました。

Uber の侵害から得たサイバーセキュリティの教訓

この侵害により、多くの専門家が、この種の攻撃が将来発生するのを防ぐために企業ができることについて意見を述べるようになりました.以下は、CyberWire のサイバーセキュリティの専門家から提供された予備的な教訓です。

＃1。攻撃側が優位

Axio のチーフ オブ スタッフである Jai Dargan 氏は、攻撃は避けられないことを再度思い出させてくれました。この攻撃の背後に誰がいるのかはわかりませんが、十分な資金と意欲を持っていると考えて間違いありません。影響を強調するために、世界経済フォーラム インサイト レポートは、サイバー攻撃とデータ詐欺を、企業にとって最も懸念される見通しの 3 番目に挙げました。

このハッキングは、攻撃者がどのように進化してきたかを垣間見せてくれます。 Traceable AI の共同創設者兼 CEO である Jyoti Bansal 氏は、次のように述べています。攻撃者は、以前のように目先の利益を求めているわけではありません。現在、彼らは将来の使用のためにデータを盗もうとしています。つまり、防御側はこのアプローチに対応する必要があります。

＃2。 MFA では不十分

多要素認証 (MFA) は、長年にわたり標準となっています。ただし、攻撃者があらゆる方法でバイパスできることを考えると、もはや信頼できません。 CyberArkが分析を実施そして、MFA を回避したり、その利点を弱めたりする方法を少なくとも 4 つ見つけました。この結果は、MFA だけでは不十分であることを示しています。

代わりに、SENHASEGURA の北米担当副社長である Darryl Athans 氏は、組織が MFA に特権アクセス管理 (PAM) とユーザーおよびエンティティ行動分析 (UEBA) を組み込むことを望んでいます。前者は、許可されたユーザーのみが機密データにアクセスできるようにします。後者は、ユーザーの行動を監視し、異常を検出して、問題になる前に潜在的な脅威を特定します。

＃3。人間関係が弱い

Uber の侵害は、セキュリティ システムにおいて人間が最も弱いリンクの一部であることを思い出させてくれます。強力なパスワードと 2 要素認証では、誰かがあなたの携帯電話会社に電話をかけ、あなたになりすますことができる場合、十分ではありません。元 NSA 長官である Michael S. Rogers 氏は、解決策はユーザーのセキュリティ意識を高めることだと考えています。これを達成するための提案された方法は次のとおりです。

• ソーシャル エンジニアリングのリスクとその回避方法についてユーザーを教育します。

• 従業員がパスワードを定期的に変更する時間を確保し、安全なパスワード マネージャーを使用してその変更を支援してください。

• MFA 疲労とは何か、サイバーセキュリティへの影響、何ができるかについての情報を含め、MFA 疲労に関する意識向上キャンペーンを作成します。

• フィッシング通知を認識するように従業員をトレーニングします。これにより、悪意のあるアラートを騙される前にキャッチすることができます。

  
  

＃4。ゼロトラストは必須

もう 1 つの教訓は、セキュリティ プロセスのすべての段階を検証および検証することによって、暗黙の信頼を排除する必要があることです。これを行うことはゼロトラストとして知られており、 IBMによるレポート、コストの削減に役立ちます。多くの場合、ゼロトラストを採用している企業は、採用していない企業に比べて 176 万ドル少なくなります。

Banyan Security の製品マーケティング担当副社長である John Dasher 氏は、解決策は健全なゼロトラスト技術で人間の弱点を補強することだと考えています。ゼロ トラスト戦略を採用し、最小特権アクセスの原則を使用し、デバイス トラストを採用することで、方程式から人間の判断を取り除くことができます。

データ漏洩の後、Uber は次に何をするのでしょうか?

Uber は、侵害を受けて予防措置として削除した内部ソフトウェア ツールを復活させることを発表しました。サービスは現在稼働中です。最新のレポートでは、機密性の高いユーザー データは侵害されていないと述べています。しかし、専門家は、侵害はディープ アクセスであると考えていました。

によるとComparitechによる調査、侵害に苦しんでいる企業は、ブランド認知度が低いため、市場での業績が低くなっています。この違反は、市場における Uber の業績にすでに影響を与えています。火曜日に確認すると、(NYSE: UBER) 株は 0.35% 下落し、市場前の $31.38 で取引されました。 Uber がこの状況にどのように対処するかはまだ分からない.投資家と顧客の両方にとって十分に迅速に回復できるかどうか.

更新しました

英国警察は、Uber の侵害の背後にいるとされるハッカーを逮捕しました。その名前は Tea Pot (別名 teapotuberhacker) であることが明らかになりました。この青年は 17 歳前後とされており、これまで考えられていた 18 歳ではありません。

ロンドン市警察のツイートによると、彼は他の 7 人のティーンエイジャーと共にオックスフォードシャーで逮捕されました。ハッカーはオンライン エイリアスとして「Breachbase」と「White」を使用しました。報告によると、彼はサイバー犯罪で約 1,400 万ドルを稼いだという。