Como um adolescente de 18 anos invadiu o Uber sem invadir um único sistema

16 de setembro foi um dia normal no Slack para a equipe do Uber. Os membros da equipe conversavam sobre suas agendas para a semana e as atualizações mais recentes de seus projetos. Idealmente, alguns canais eram preenchidos com as brincadeiras usuais e conversas ociosas, enquanto outros ficavam quietos - esperando que alguém quebrasse o silêncio.

É seguro dizer que nada parecia fora do lugar. Nem mesmo um novo usuário que havia entrado no canal da empresa. Este usuário usou o nome 'Nwave' sem uma foto de perfil, biografia ou descrição do trabalho. Mas ninguém pensou muito nisso - nenhum dos funcionários tinha um motivo para isso. Os trabalhadores modificam os perfis o tempo todo.

Então, algo mais aconteceu. O recém-chegado anunciou que havia hackeado os dados do Uber. De acordo com as capturas de tela postado em plataformas de mídia social , a mensagem diz:

Um dilúvio de emojis seguiu o anúncio - sirenes satíricas, pipocas descontraídas, rostos zombeteiros e alarmes alegres. A ousadia da mensagem, para a equipe, parecia uma pegadinha do TikTok. Eles acharam que era uma brincadeira e fizeram GIFs para memear a situação. Alguns até começaram a interagir com o hacker.

Naquele momento, ninguém sabia a extensão do hack e que um intruso de 18 anos que estava aprendendo segurança cibernética usava o Uber como campo de prática. Mais significativamente, a equipe não sabia que tais notícias chegariam às primeiras páginas do jornal. New York Times , gerando vários alertas de segurança de parceiros e reações do setor de segurança cibernética.

Em primeiro lugar, como aconteceu a violação do Uber? Vamos começar dissecando o anúncio.

Eu sou um hacker e o Uber sofreu uma violação de dados... '

Um hacker tem conhecimento avançado de sistemas e redes de computadores e pode usar esse conhecimento para invadir ou 'hackear' os sistemas de outras pessoas. Existem três tipos de hackers:

• Chapéu preto : um hacker de chapéu preto usa suas habilidades, maliciosamente, para obter acesso ou, de outra forma, interromper sistemas e redes de computadores. Eles geralmente o fazem sem permissão e muitas vezes para causar danos, como roubar informações ou dinheiro.

• White Hat: Um hacker de chapéu branco usa suas habilidades para o bem, encontrando falhas de segurança nos sistemas e relatando sua correção antes que danos reais sejam causados.

• Chapéu cinza: um hacker de chapéu cinza realiza atividades de hacking, mas pode não ter motivos maliciosos por trás de suas ações. Em vez disso, eles podem estar interessados em aprender sobre como as coisas funcionam ou brincar com novas tecnologias para se divertir.

  
  

Em artigo publicado por Instituto Infosec , há um benefício psicológico em traçar perfis de hackers com ênfase na conscientização de segurança. Ainda assim, há um nível ao qual o perfil pode chegar se precisarmos desviar a influência do hacker para o hackeado. No caso do Uber, este último prevaleceu.

Não havia nenhum lugar onde o sequestrador foi nomeado. Tudo o que sabemos sobre ele é que é um adolescente (18 anos) que afirmou ter acabado de aprender algumas habilidades de segurança cibernética. Mas Uber diz eles são afiliados com Lapsus$ , um notório grupo de hackers. Ainda assim, eles são chapéu preto, chapéu branco ou chapéu cinza? Mais detalhes revelarão isso. Vejamos a violação.

Uma violação ou vazamento de dados é um incidente de segurança no qual ocorre o acesso não autorizado aos dados. Os dados acessados podem ser confidenciais, privados ou públicos. Um relatório IBM coloca o custo total de uma violação de dados nos Estados Unidos em US$ 4,24 milhões em 2022.

As estatísticas diminuíram. UMA estudo comparativo aponta a Califórnia como o estado que mais sofreu violações de dados nos Estados Unidos em 15 anos. É preocupante que o Uber esteja sediado em San Francisco, Califórnia. Ainda assim, não podemos julgar o impacto da violação ou concluir sobre o hacker até sabermos o que foi roubado ou exposto.

...Slack foi roubado, dados confidenciais, junto com segredos de tênis…'

O Slack é uma ferramenta de comunicação popular para organizações, geralmente chamada de "Facebook corporativo". É uma ótima maneira de manter todos em sua empresa informados sobre os projetos, pois ajuda as equipes a compartilhar documentos e arquivos.

Devido aos seus múltiplos recursos de colaboração e benefícios de integração, o Slack possui mais de 10 milhões usuários ativos. Além disso, 65% das empresas da Fortune 100 pagam pela plataforma, sem esquecer as 750.000 organizações, de acordo com DMR .

Apesar de seus benefícios, o Slack não é imune a ameaças cibernéticas. Seu crescimento de usuários garante que muitas vezes seja um alvo de infiltração de hackers. Se os sequestradores não visam a plataforma como um todo, eles estão procurando empresas individuais na plataforma para violar.

Em 2015, Slack sofrido um grande ataque cibernético. O impacto levou à adoção da autenticação de dois fatores. Embora a empresa não tenha sido totalmente violada desde então, ela serviu como uma porta dos fundos para a infiltração de outras empresas. gigante da mídia social, Twitter , foi hackeado pelo Slack em 2020; criador de videogame, Artes eletrônicas , em 2021; e agora o serviço de carona Uber.

Em todas essas violações, as empresas perderam vários dados no valor de centenas de dólares. É o mesmo para o Uber. O hacker mencionou o roubo do Atlassian Confluence do Uber, dados armazenados chamados stash e dois mono-repos (um único repositório com muitos projetos) do software de plataforma cruzada Phabricator. Eles ainda compartilharam que tinham segredos prontos para revelar sobre tênis e postaram capturas de tela para apoiá-los.

Uber, em seu relatório , confirmou o acesso não autorizado. Reduziu o roubo aos sistemas internos de comunicação e engenharia, que incluíam o servidor Slack, console AWS, Google Workspace, máquinas virtuais VMware, contas de e-mail corporativo e, o mais importante, o programa de recompensas de bugs HackerOne da empresa, onde os pesquisadores discutem vulnerabilidades críticas de TI.

uberunderpaisdrives

Facilmente, a declaração mais profunda no anúncio é a hashtag #uberunderpaysdrivers , incorretamente escrita como #uberunderpaisdrives. Não é incomum que os hackers usem suas habilidades para causar mudanças sociais ou econômicas ou fazer uma declaração política. Mas isso qualifica a ação desse intruso como chapéu branco, chapéu preto ou chapéu cinza?

Superficialmente, o Uber pode estar pagando mal aos motoristas. Em 2017, a empresa de carona admitiu pagar menos acidentalmente pilotos na cidade de Nova York por mais de dois anos. No entanto, olhando profundamente, os hackers são conhecidos por se esconder sob a defesa social para ganhar sentimentos públicos.

Assim, rotular o intruso parece apressado. A extensão dos danos é desconhecida enquanto as investigações continuam. Ainda não está claro se esse hacker teve acesso a dados confidenciais de clientes e o que eles planejavam fazer com eles. Considerando que a(s) pessoa(s) se apresentaram ao New York Times e até compartilhou seu canal no Telegram para discussão de chapéu branco , fazer parte do Lapsus$ é chapéu preto para um esquema maior .

A carne: como o hacker entrou

De acordo com uma série de tweets de Corben Leo , CMO Zellic.io, Sam Curry , Engenheiro de segurança, Yugalabs e VX-Underground , o hacker usou engenharia social mais fadiga de MFA.

A engenharia social usa interação e manipulação humana para obter acesso a sistemas de computador. Os engenheiros sociais usam engano, influência e persuasão para induzir as pessoas a fornecer informações confidenciais, realizar ações ou instalar software que comprometa a segurança. Freqüentemente, eles se apresentam como membros da organização ou empresa-alvo, ou podem se passar por outra pessoa (por exemplo, um policial).

A PurpleSec informa que mais de 98% dos ataques cibernéticos dependem da engenharia social para mostrar a gravidade dessa forma de ataque.

A fadiga da MFA refere-se aos usuários que ficam entediados com a autenticação multifator (MFA) e optam por não cumpri-la eventualmente. Isso acontece por vários motivos, mas o mais comum é que os usuários acham o MFA muito inconveniente ou irritante. No caso do Uber, aconteceu assim:

• O hacker usou várias técnicas de engenharia social para comprometer a conta de um funcionário do Uber (provavelmente de funcionários).
• O invasor enviou notificações repetidas sobre a necessidade de MFA de sua conta. Isso levou à fadiga da MFA no funcionário, que acabou desistindo da conformidade.
• O invasor então enviou uma mensagem de WhatsApp fingindo ser um membro da Uber IT, pedindo a aprovação do login. O funcionário obedeceu e deu a eles acesso à conta do Slack.
• Do Slack, o invasor passou a acessar recursos de rede, visando scripts do PowerShell.
• Um dos scripts continha credenciais codificadas para uma conta de administrador, o que permitia ao invasor obter acesso a vários outros sistemas.

A fadiga do MFA não é um novo vetor de ataque - foi usado contra MailChimpName e Twilio em agosto deste ano. Na verdade, o Uber sofreu um destino semelhante em 2016, quando perdeu dados confidenciais para invasores.

Lições de segurança cibernética da violação do Uber

A violação levou muitos especialistas a avaliar suas opiniões sobre o que as empresas podem fazer para evitar que esses tipos de ataques aconteçam no futuro. Abaixo estão as lições preliminares fornecidas por especialistas em segurança cibernética no CyberWire:

#1. Os atacantes têm vantagem

Jai Dargan, chefe de gabinete da Axio, nos lembrou novamente que os ataques são inevitáveis. Embora não saibamos quem está por trás desse ataque, é seguro assumir que eles são bem financiados e altamente motivados. Para destacar o impacto, o Relatório do Fórum Econômico Mundial colocou os ataques cibernéticos e a fraude de dados em terceiro lugar nas perspectivas mais preocupantes para as empresas.

O hack também nos dá uma ideia de como os invasores evoluíram. Jyoti Bansal, co-fundador e CEO da Traceable AI, disse, 'a violação do Uber é um exemplo de como os atacantes têm uma vantagem sobre os defensores e como seus objetivos evoluíram.' Os invasores não estão mais procurando lucro rápido como faziam no passado. Agora, eles estão tentando roubar dados para uso futuro – e isso significa que os defensores precisam igualar a abordagem.

#2. MFA não é suficiente

A autenticação multifatorial (MFA) é o padrão há anos. No entanto, não é mais confiável, considerando todas as maneiras pelas quais os invasores podem contorná-lo. A CyberArk realizou uma análise e encontraram pelo menos quatro maneiras de contornar o MFA ou diminuir seus benefícios. O resultado aponta para o fato de que o MFA, apenas, não é suficiente.

Em vez disso, Darryl Athans, vice-presidente da SENHASEGURA na América do Norte, deseja que as organizações incluam gerenciamento de acesso privilegiado (PAM) e análise de comportamento de usuários e entidades (UEBA) em seu MFA. O primeiro garante que apenas usuários autorizados tenham acesso a dados confidenciais. Este último monitora o comportamento do usuário e detecta anomalias para identificar possíveis ameaças antes que se tornem um problema.

#3. Os elos humanos são fracos

A violação do Uber serve como um lembrete de que os humanos são alguns dos elos mais fracos em qualquer sistema de segurança. Uma senha forte e autenticação de dois fatores não são suficientes quando alguém pode ligar para sua empresa de telefonia celular e se passar por você. O ex-almirante diretor da NSA, Michael S. Rogers, acredita que a solução é aumentar a conscientização do usuário sobre a segurança. Aqui estão propostas maneiras de conseguir isso:

• Eduque seus usuários sobre os riscos da engenharia social e como evitá-los.

• Garanta que seus funcionários reservem um tempo para alterar suas senhas regularmente e use um gerenciador de senhas seguro para ajudá-los a fazer isso.

• Crie uma campanha de conscientização sobre a fadiga do MFA, incluindo informações sobre o que é, seu impacto na segurança cibernética e o que eles podem fazer.

• Treine seus funcionários para reconhecer notificações de phishing. Isso os ajudará a detectar alertas maliciosos antes que caiam neles.

  
  

#4. Confiança zero é uma necessidade

Outra lição é a necessidade de eliminar a confiança implícita verificando e validando cada estágio do processo de segurança. Fazer isso é conhecido como confiança zero e, de acordo com um relatório da IBM , ajuda a reduzir custos. Muitas vezes, é $ 1,76 milhão a menos em empresas que adotam confiança zero em comparação com as que não adotam.

John Dasher, vice-presidente de marketing de produtos da Banyan Security, acredita que a solução é fortalecer as fraquezas humanas com uma tecnologia sólida de confiança zero. Ao adotar uma estratégia de confiança zero, usando o princípio de acesso com privilégios mínimos e empregando confiança no dispositivo, você pode ajudar a tirar o julgamento humano da equação.

O que vem a seguir para o Uber após a violação?

A Uber anunciou que está trazendo de volta sua ferramenta de software interna depois de desligá-la como precaução após a violação. Os serviços já estão operacionais. Em seu último relatório, disse que nenhum dado sensível do usuário foi comprometido. No entanto, especialistas acreditam que a violação foi um acesso profundo.

De acordo com um estudo da Comparitech , as empresas que sofrem violações apresentam baixo desempenho no mercado devido à má percepção da marca. A violação já impactou o desempenho da Uber no mercado. Verificando na terça-feira, (NYSE: UBER) as ações foram negociadas em baixa de 0,35% a $ 31,38 no pré-mercado. Resta ver como o Uber lida com essa situação - se eles podem ou não se recuperar com rapidez suficiente para investidores e clientes.

Atualizada

A polícia britânica prendeu o suposto hacker por trás da violação do Uber, cujo nome foi revelado como Tea Pot (também conhecido como teapotuberhacker). O jovem teria cerca de 17 anos e não 18 como se acreditava anteriormente.

De acordo com um tweet da polícia da cidade de Londres , ele foi preso em Oxfordshire junto com outros sete adolescentes. O hacker usou "Breachbase" e "White" como seus pseudônimos online. Relatórios dizem que ele ganhou cerca de US $ 14 milhões com crimes cibernéticos.