paint-brush
Uber & Thycotic: パスワード保管庫は巨大なセキュリティ脆弱性ですか?@jamesbore
41,687 測定値
41,687 測定値

Uber & Thycotic: パスワード保管庫は巨大なセキュリティ脆弱性ですか?

James Bore4m2022/10/03
Read on Terminal Reader
Read this story w/o Javascript

長すぎる; 読むには

セキュリティは複雑で、資格情報の管理は困難です。 17 歳のハッカー TeaPot は、Uber の請負業者の資格情報を入手し、多要素認証要求を繰り返し送信し始めました。請負業者が腹を立てて同意すると、彼らのアカウントは Uber のパスワード保管庫である Thycotic への管理者資格情報を含むスクリプトにアクセスするために使用され、他のほとんどすべてにアクセスできるようになりました。

Companies Mentioned

Mention Thumbnail
Mention Thumbnail
featured image - Uber & Thycotic: パスワード保管庫は巨大なセキュリティ脆弱性ですか?
James Bore HackerNoon profile picture

人々がセキュリティについて話すとき、パスワード マネージャーや保管庫についての話題がよく出てきます。これらは個人にとって有用です。ただし、慎重に検討しないと、企業にいくつかの現実的なリスクをもたらします。


Uber は最近侵害されました、そして攻撃者からのすべてのアカウントによって徹底的にそう。 Thycotic と呼ばれるパスワード ボールト システムは、セキュリティを削除するのではなく、追加するように設計された他のいくつかの対策とともに、大いに活用されました。

私が始めたいことがいくつかあります:

  • ここではテクノロジーとツール自体に問題はありません。代わりに、それらの実装と、Uber のシステムのより広範な設計にかかっています。
  • パスワード マネージャーとボールトは同じ意味で使用されますが、通常、パスワード ボールトは企業が 1 人のユーザー向けではなく、ビジネス全体で資格情報を保護するためのエンタープライズ システムに近いものになります。
  • セキュリティは複雑であり、最初から設計されていない場合、大きな脆弱性が発生することになります。つまり、ほんのわずかなミスが、ほとんど気付かれずに大規模な違反になる可能性があります。

Uber のハッキングで何が起きたのか?


通知疲れから始めます。英国出身の 17 歳の「TeaPot」と思われる攻撃者は、Uber の請負業者の資格情報 (おそらくオンラインで購入したもの) を発見し、多要素認証要求を彼らに繰り返し送信し始めました。これは急速に一般的な攻撃になりつつあり、単純に人々を困らせて通知を受け入れさせようとしますが、この場合、彼らは WhatsApp を介してメッセージを送信し、Uber IT からのものであると主張し、請負業者にエラーがあったことを伝えました。通知すると、アラートが停止します。


請負業者がアラートを受け入れた後、TeaPot はイントラネットにアクセスしたと主張し、Uber が資格情報を管理するために使用する Thycotic Secrets Vault の管理者資格情報を含むスクリプトを見つけました。

管理者の資格情報は、攻撃者がパスワード Vault 内のすべてのものを利用できることを意味する可能性があり、これが実際に起こったことのようです。これには、バグ報奨金プログラムへのアクセスが含まれていたと思われます。つまり、TeaPot は、Uber のアプリやシステムの未修正の脆弱性にアクセスできるようになったということです。

では、パスワード保管庫は悪いのでしょうか?

これが問題です。セキュリティは複雑で、資格情報の管理は困難です。 Uber やその他のユニコーン企業が取り組んでいる規模では、最初からセキュリティを考慮して構築されていない企業の多くは、流砂の基盤の上で効果的に取り組んでいます。ビジネスとして運営し、投資家の要求に追いつこうとしながら、セキュリティのために設計されたことのないシステムにセキュリティを必死に改造しようとしています。



Thycotic などのパスワード保管庫自体は悪いアイデアではありませんが、Uber の場合は何が役に立ちましたか?ゼロトラストの原則、つまり、ネットワーク内のどのデバイスからのアクセスも信頼しないという話がよく出てきますが、これらの原則はよく話題に上りますが、ゼロトラストの原則が組み込まれていない場合、実装するのは非常に困難です。開始。


パスワード保管庫を持たないことも別の選択肢であり、それは単にこれらすべての資格情報を 1 か所に保管する可能性が低くなるため、役に立ったかもしれません.一方で、ユーザーはそもそも脆弱なパスワードを使用し、スプレッドシートやテキスト ファイルなどの安全でない方法でパスワードを保存する可能性が非常に高いことを意味します。


パスワード保管庫が適切に実装されていれば、ユーザーは安全なシステムを非常に簡単に管理できます。ここでの本当の欠点は、最初にパスワード ボールトへの管理者資格情報を持っていたことにありました。代わりに、必要な資格情報にのみアクセスできるように個々のアカウントを作成する必要があります。外部の請負業者は、どんなに信頼されていても、そのレベルの資格情報にアクセスするべきではありません。彼らは単にそれを必要としません.

最も信頼できる従業員がそのようなアクセス権を持っていても、私は快適ではありません.これは、複数の部分に分割し、取締役会の複数のメンバーに分散させ、IT チーム全体がエイリアンに誘拐されるなどの緊急事態に備えて金庫をロックするタイプのものです。

パスワード保管庫を使用する必要がありますか?

攻撃後に明らかになったことの 1 つは、多くのセキュリティ製品ベンダーが自社のソリューションを唯一無二のものとして販売していたことです。せいぜい、これらは完全に無視する必要があります。なぜなら、侵害につながった弱点は (ほとんどの場合) 複雑で多面的であり、簡単な修正は不可能だからです.もう 1 つは、多くの人が、パスワード ボールトやパスワード マネージャーが突然新しい大きなリスクになるのか、安全に使用できるのか疑問視していたことです。


URegina経由の画像


簡単な答えはイエスです。適切に設定された保管庫では、はるかに安全なパスワードを使用し、定期的にローテーションし、適切に管理できます。多くのエンタープライズ シークレット ボールトは、使用するたびにパスワードを変更し、証明書やその他の秘密鍵などのユーザー資格情報以外にも多くの情報を管理します。


より複雑な答えは、セキュリティを簡素化するために使用するツールは、環境にトレードオフと独自のリスクをもたらすということです。パスワード保管庫を使用すると、より安全なパスワードと資格情報の管理が向上しますが、トレードオフは、これらすべての資格情報が 1 か所にあるため、攻撃者にとって魅力的なターゲットになり、マイナーな侵害が急速に深刻になる可能性があることです.