16 de setembro foi um dia normal no Slack para a equipe do Uber. Os membros da equipe conversavam sobre suas agendas para a semana e as atualizações mais recentes de seus projetos. Idealmente, alguns canais eram preenchidos com as brincadeiras usuais e conversas ociosas, enquanto outros ficavam quietos - esperando que alguém quebrasse o silêncio.  É seguro dizer que nada parecia fora do lugar. Nem mesmo um novo usuário que havia entrado no canal da empresa. Este usuário usou o nome 'Nwave' sem uma foto de perfil, biografia ou descrição do trabalho. Mas ninguém pensou muito nisso - nenhum dos funcionários tinha um motivo para isso. Os trabalhadores modificam os perfis o tempo todo.  Então, algo mais aconteceu. O recém-chegado anunciou   havia hackeado os dados do Uber. De acordo com as capturas de tela  , a mensagem diz:  que   postado em plataformas de mídia social  Um dilúvio de emojis seguiu o anúncio - sirenes satíricas, pipocas descontraídas, rostos zombeteiros e alarmes alegres. A ousadia da mensagem, para a equipe, parecia uma pegadinha do TikTok. Eles acharam que era uma brincadeira e fizeram GIFs para memear a situação. Alguns até começaram a interagir com o hacker.   Naquele momento, ninguém sabia a extensão do hack e que um intruso de 18 anos que estava aprendendo segurança cibernética usava o Uber como campo de prática. Mais significativamente, a equipe não sabia que tais notícias chegariam às primeiras páginas do jornal.  , gerando vários alertas de segurança de parceiros e reações do setor de segurança cibernética.   New York Times  Em primeiro lugar, como aconteceu a violação do Uber? Vamos começar dissecando o anúncio.    ' Eu sou um hacker e o Uber sofreu uma violação de dados...  Um hacker tem conhecimento avançado de sistemas e redes de computadores e pode usar esse conhecimento para invadir ou 'hackear' os sistemas de outras pessoas. Existem três tipos de hackers:    : um hacker de chapéu preto usa suas habilidades, maliciosamente, para obter acesso ou, de outra forma, interromper sistemas e redes de computadores. Eles geralmente o fazem sem permissão e muitas vezes para causar danos, como roubar informações ou dinheiro. Chapéu preto    Um hacker de chapéu branco usa suas habilidades para o bem, encontrando falhas de segurança nos sistemas e relatando sua correção antes que danos reais sejam causados. White Hat:    um hacker de chapéu cinza realiza atividades de hacking, mas pode não ter motivos maliciosos por trás de suas ações. Em vez disso, eles podem estar interessados em aprender sobre como as coisas funcionam ou brincar com novas tecnologias para se divertir. Chapéu cinza:  Em artigo publicado por  , há um benefício psicológico em traçar perfis de hackers com ênfase na conscientização de segurança. Ainda assim, há um nível ao qual o perfil pode chegar se precisarmos desviar a influência do hacker para o hackeado. No caso do Uber, este último prevaleceu.   Instituto Infosec  Não havia nenhum lugar onde o sequestrador foi nomeado. Tudo o que sabemos sobre ele é que   um adolescente (18 anos) que afirmou ter acabado de aprender algumas habilidades de segurança cibernética. Mas    afiliados com  , um notório grupo de hackers. Ainda assim, eles são chapéu preto, chapéu branco ou chapéu cinza? Mais detalhes revelarão isso. Vejamos a violação. é   Uber diz eles são   Lapsus$  Uma violação ou vazamento de dados é um incidente de segurança no qual ocorre o acesso não autorizado aos dados. Os dados acessados podem ser confidenciais, privados ou públicos. Um  coloca o custo total de uma violação de dados nos Estados Unidos em US$ 4,24 milhões em 2022.   relatório IBM  As estatísticas diminuíram. UMA  aponta a Califórnia como o estado que mais sofreu violações de dados nos Estados Unidos em 15 anos. É preocupante que o Uber esteja sediado em San Francisco, Califórnia. Ainda assim, não podemos julgar o impacto da violação ou concluir sobre o hacker até sabermos o que foi roubado ou exposto.   estudo comparativo   ...Slack foi roubado, dados confidenciais, junto com segredos de tênis…'  O Slack é uma ferramenta de comunicação popular para organizações, geralmente chamada de "Facebook corporativo". É uma ótima maneira de manter todos em sua empresa informados sobre os projetos, pois ajuda as equipes a compartilhar documentos e arquivos.  Devido aos seus múltiplos recursos de colaboração e benefícios de integração, o Slack possui  usuários ativos. Além disso, 65% das empresas da Fortune 100 pagam pela plataforma, sem esquecer as 750.000 organizações, de acordo com  .   mais de 10 milhões   DMR  Apesar de seus benefícios, o Slack não é imune a ameaças cibernéticas. Seu crescimento de usuários garante que muitas vezes seja um alvo de infiltração de hackers. Se os sequestradores não visam a plataforma como um todo, eles estão procurando empresas individuais na plataforma para violar.  Em 2015,  um grande ataque cibernético. O impacto levou à adoção da autenticação de dois fatores. Embora a empresa não tenha sido totalmente violada desde então, ela serviu como uma porta dos fundos para a infiltração de outras empresas. gigante da mídia social,  , foi hackeado pelo Slack em 2020; criador de videogame,  , em 2021; e agora o serviço de carona Uber.   Slack sofrido   Twitter   Artes eletrônicas  Em todas essas violações, as empresas perderam vários dados no valor de centenas de dólares. É o mesmo para o Uber. O hacker mencionou o roubo do Atlassian Confluence do Uber, dados armazenados chamados   e dois mono-repos (um único repositório com muitos projetos) do software de plataforma cruzada Phabricator.   ainda compartilharam que tinham segredos   sobre tênis e postaram capturas de tela para apoiá-los.  stash Eles prontos para revelar  Uber,  , confirmou o acesso não autorizado. Reduziu o roubo aos sistemas internos de comunicação e engenharia, que incluíam o servidor Slack, console AWS, Google Workspace, máquinas virtuais VMware, contas de e-mail corporativo e, o mais importante, o programa de recompensas de bugs HackerOne da empresa, onde os pesquisadores discutem vulnerabilidades críticas de TI.   em seu relatório  uberunderpaisdrives  Facilmente, a declaração mais profunda no anúncio é a hashtag   , incorretamente escrita como #uberunderpaisdrives. Não é incomum que os hackers usem suas habilidades para causar mudanças sociais ou econômicas ou fazer uma declaração política. Mas isso qualifica a ação desse intruso como chapéu branco, chapéu preto ou chapéu cinza? #uberunderpaysdrivers  Superficialmente, o Uber pode estar pagando mal aos motoristas. Em 2017, a empresa de carona  pilotos na cidade de Nova York por mais de dois anos. No entanto, olhando profundamente, os hackers são conhecidos por se esconder sob a defesa social para ganhar sentimentos públicos.   admitiu pagar menos acidentalmente  Assim, rotular o intruso parece apressado. A extensão dos danos é desconhecida enquanto as investigações continuam. Ainda não está claro se esse hacker teve acesso a dados confidenciais de clientes e o que   planejavam fazer com eles. Considerando que a(s) pessoa(s)   apresentaram ao New York Times e até  para   , fazer parte do Lapsus$ é   . eles se       compartilhou seu canal no Telegram discussão de chapéu branco chapéu preto para um esquema maior  A carne: como o hacker entrou  De acordo com uma série de tweets de  , CMO Zellic.io,  , Engenheiro de segurança, Yugalabs e  , o hacker usou engenharia social mais fadiga de MFA.   Corben Leo   Sam Curry   VX-Underground  A engenharia social usa interação e manipulação humana para obter acesso a sistemas de computador. Os engenheiros sociais usam engano, influência e persuasão para induzir as pessoas a fornecer informações confidenciais, realizar ações ou instalar software que comprometa a segurança. Freqüentemente, eles se apresentam como membros da organização ou empresa-alvo, ou podem se passar por outra pessoa (por exemplo, um policial).    que mais de 98% dos ataques cibernéticos dependem da engenharia social para mostrar a gravidade dessa forma de ataque. A PurpleSec informa  A fadiga da MFA refere-se aos usuários que ficam entediados com a autenticação multifator (MFA) e optam por não cumpri-la eventualmente. Isso acontece por vários motivos, mas o mais comum é que os usuários acham o MFA muito inconveniente ou irritante. No caso do Uber, aconteceu assim:   O hacker usou várias técnicas de engenharia social para comprometer a conta de um funcionário do Uber (provavelmente de funcionários).  O invasor enviou   sobre a necessidade de MFA de sua conta. Isso levou à fadiga da MFA no funcionário, que acabou desistindo da conformidade. notificações repetidas  O invasor então enviou uma mensagem de WhatsApp fingindo ser um membro da Uber IT, pedindo a aprovação do login. O funcionário obedeceu e deu a eles acesso à conta do Slack.  Do Slack, o invasor passou a acessar recursos de rede, visando scripts do PowerShell.  Um dos scripts continha credenciais codificadas para uma conta de administrador, o que permitia ao invasor obter acesso a vários outros sistemas.  A fadiga do MFA não é um novo vetor de ataque - foi usado contra  e  em agosto deste ano. Na verdade, o Uber sofreu um destino semelhante em 2016, quando perdeu dados confidenciais para invasores.   MailChimpName   Twilio  Lições de segurança cibernética da violação do Uber  A violação levou muitos especialistas a avaliar suas opiniões sobre o que as empresas podem fazer para evitar que esses tipos de ataques aconteçam no futuro. Abaixo estão as lições preliminares fornecidas por especialistas em segurança cibernética no CyberWire:   #1. Os atacantes têm vantagem  Jai Dargan, chefe de gabinete da Axio, nos lembrou novamente que os ataques são inevitáveis. Embora não saibamos quem está por trás desse ataque, é seguro assumir que eles são bem financiados e altamente motivados. Para destacar o impacto, o  colocou os ataques cibernéticos e a fraude de dados em terceiro lugar nas perspectivas mais preocupantes para as empresas.   Relatório do Fórum Econômico Mundial  O hack também nos dá uma ideia de como os invasores evoluíram. Jyoti Bansal, co-fundador e CEO da Traceable AI, disse, 'a violação do Uber é um exemplo de como os atacantes têm uma vantagem sobre os defensores e como seus objetivos evoluíram.' Os invasores não estão mais procurando lucro rápido como faziam no passado. Agora, eles estão tentando roubar dados para uso futuro – e isso significa que os defensores precisam igualar a abordagem.   #2. MFA não é suficiente  A autenticação multifatorial (MFA) é o padrão há anos. No entanto, não é mais confiável, considerando todas as maneiras pelas quais os invasores podem contorná-lo.  e encontraram pelo menos quatro maneiras de contornar o MFA ou diminuir seus benefícios. O resultado aponta para o fato de que o MFA, apenas, não é suficiente.   A CyberArk realizou uma análise  Em vez disso, Darryl Athans, vice-presidente da SENHASEGURA na América do Norte, deseja que as organizações incluam gerenciamento de acesso privilegiado (PAM) e análise de comportamento de usuários e entidades (UEBA) em seu MFA. O primeiro garante que apenas usuários autorizados tenham acesso a dados confidenciais. Este último monitora o comportamento do usuário e detecta anomalias para identificar possíveis ameaças antes que se tornem um problema.   #3. Os elos humanos são fracos  A violação do Uber serve como um lembrete de que os humanos são alguns dos elos mais fracos em qualquer sistema de segurança. Uma senha forte e autenticação de dois fatores não são suficientes quando alguém pode ligar para sua empresa de telefonia celular e se passar por você. O ex-almirante diretor da NSA, Michael S. Rogers, acredita que a solução é aumentar a conscientização do usuário sobre a segurança. Aqui estão propostas maneiras de conseguir isso:  Eduque seus usuários sobre os riscos da engenharia social e como evitá-los.  Garanta que seus funcionários reservem um tempo para alterar suas senhas regularmente e use um gerenciador de senhas seguro para ajudá-los a fazer isso.  Crie uma campanha de conscientização sobre a fadiga do MFA, incluindo informações sobre o que é, seu impacto na segurança cibernética e o que eles podem fazer.  Treine seus funcionários para reconhecer notificações de phishing. Isso os ajudará a detectar alertas maliciosos antes que caiam neles.   #4. Confiança zero é uma necessidade  Outra lição é a necessidade de eliminar a confiança implícita verificando e validando cada estágio do processo de segurança. Fazer isso é conhecido como confiança zero e, de acordo com  , ajuda a reduzir custos. Muitas vezes, é $ 1,76 milhão a menos em empresas que adotam confiança zero em comparação com as que não adotam.   um relatório da IBM  John Dasher, vice-presidente de marketing de produtos da Banyan Security, acredita que a solução é fortalecer as fraquezas humanas com uma tecnologia sólida de confiança zero. Ao adotar uma estratégia de confiança zero, usando o princípio de acesso com privilégios mínimos e empregando confiança no dispositivo, você pode ajudar a tirar o julgamento humano da equação.  O que vem a seguir para o Uber após a violação?  A Uber anunciou que está trazendo de volta sua ferramenta de software interna depois de desligá-la como precaução após a violação. Os serviços já estão operacionais. Em seu último relatório, disse que nenhum dado sensível do usuário foi comprometido. No entanto, especialistas acreditam que a violação foi um acesso profundo.  De acordo com  , as empresas que sofrem violações apresentam baixo desempenho no mercado devido à má percepção da marca. A violação já impactou o desempenho da Uber no mercado. Verificando na terça-feira, (NYSE: UBER) as ações foram negociadas em baixa de 0,35% a $ 31,38 no pré-mercado. Resta ver como o Uber lida com essa situação - se eles podem ou não se recuperar com rapidez suficiente para investidores e clientes.   um estudo da Comparitech   Atualizada  A polícia britânica prendeu o suposto hacker por trás da violação do Uber, cujo nome foi revelado como Tea Pot (também conhecido como teapotuberhacker). O jovem teria cerca de 17 anos e não 18 como se acreditava anteriormente.  De acordo com um   , ele foi preso em Oxfordshire junto com outros sete adolescentes. O hacker usou "Breachbase" e "White" como seus pseudônimos online. Relatórios dizem que ele ganhou cerca de US $ 14 milhões com crimes cibernéticos. tweet da polícia da cidade de Londres

This story contains new, firsthand information uncovered by the writer.

ATLASSIAN

Facebook

Google

Slack

Twilio

Twitter

Uber

2022 - Gaming Guru of the Year

2022 - HackerNoon Contributor of the Year - Future Of Finance

Winner, Hackernoon Contributor of the Year - Future Of Finance

First Runner-up, Hackernoon Gaming Guru of the Year

Check Out Portfolio

Book a Call

Hire Me

Este áudio é produzido no idioma original da história!

Muito longo; Para ler

Boost your HackerNoon story @ $159.99! 🚀

Como um adolescente de 18 anos invadiu o Uber sem invadir um único sistema

Como um adolescente de 18 anos invadiu o Uber sem invadir um único sistema

About Author

COMENTARIOS

Rótulos

ESTE ARTIGO FOI APRESENTADO EM

Related Stories

Quer ganhar um concurso de redação do HackerNoon? Aqui está o que os vencedores do concurso #crypto-api recomendam

Toque para ganhar: Telegram pode integrar os próximos 10 bilhões de usuários criptográficos antes de Solana

Guia do arquiteto para construir arquitetura de referência para um Datalake de IA/ML

Telegram: a ponte da Crypto Island para o continente

Quer ganhar um concurso de redação do HackerNoon? Aqui está o que os vencedores do concurso #crypto-api recomendam

Toque para ganhar: Telegram pode integrar os próximos 10 bilhões de usuários criptográficos antes de Solana

Guia do arquiteto para construir arquitetura de referência para um Datalake de IA/ML

Telegram: a ponte da Crypto Island para o continente

Light-Mode

Classic

Newspaper

Dark-Mode

Neon Noir

Minty

HN StartUps