Làm thế nào một thiếu niên 18 tuổi đột nhập Uber mà không cần hack một hệ thống duy nhất

Ngày 16 tháng 9 là một ngày bình thường ở Slack đối với nhân viên Uber. Các thành viên trong nhóm đã trò chuyện về lịch trình của họ trong tuần và những cập nhật mới nhất về các dự án của họ. Lý tưởng nhất là một vài kênh chứa đầy những cuộc trò chuyện đùa cợt và nhàn rỗi thông thường, trong khi những kênh khác thì im lặng — chờ ai đó phá vỡ sự im lặng.

An toàn để nói, dường như không có gì khác lạ. Thậm chí không phải người dùng mới đã tham gia kênh của công ty. Người dùng này đã sử dụng tên 'Nwave' mà không có ảnh hồ sơ, tiểu sử hoặc mô tả công việc. Nhưng không ai nghĩ nhiều đến điều này - không ai trong số các nhân viên có lý do để làm điều đó. Công nhân sửa đổi hồ sơ mọi lúc.

Sau đó, một cái gì đó khác đã xảy ra. Người mới thông báo họ đã xâm nhập vào dữ liệu của Uber. Theo ảnh chụp màn hình được đăng trên các nền tảng truyền thông xã hội , tin nhắn có nội dung:

Một loạt các biểu tượng cảm xúc theo sau thông báo — còi báo động châm biếm, biểu tượng cảm xúc thoải mái, khuôn mặt chế giễu và báo động vui vẻ. Sự trơ trẽn của tin nhắn, đối với các nhân viên, trông giống như một trò đùa của TikTok. Họ nghĩ rằng đó là một trò đùa và tạo ảnh GIF để khắc phục tình huống. Một số thậm chí còn bắt đầu tương tác với hacker.

Vào thời điểm đó, không ai biết mức độ của vụ tấn công và một kẻ xâm nhập 18 tuổi đã được học về an ninh mạng đã sử dụng Uber như một nơi thực hành. Quan trọng hơn, các nhân viên không biết những tin tức như vậy sẽ được đưa lên trang nhất của Thời báo New York , đưa ra một số cảnh báo bảo mật từ các đối tác và phản ứng từ ngành công nghiệp an ninh mạng.

Trước hết, vụ vi phạm của Uber đã xảy ra như thế nào? Hãy bắt đầu bằng cách mổ xẻ thông báo.

Tôi là một hacker và Uber đã bị vi phạm dữ liệu ... '

Một hacker có kiến thức nâng cao về hệ thống máy tính và mạng và có thể sử dụng kiến thức đó để đột nhập hoặc 'xâm nhập' vào hệ thống của người khác. Có ba loại tin tặc:

• Black Hat : Một hacker mũ đen sử dụng các kỹ năng của họ một cách ác ý để có được quyền truy cập hoặc cách khác, làm gián đoạn hệ thống máy tính và mạng. Họ thường làm như vậy mà không được phép và thường gây hại, chẳng hạn như ăn cắp thông tin hoặc tiền.

• Mũ trắng: Một hacker mũ trắng sử dụng các kỹ năng của họ một cách tốt đẹp bằng cách tìm ra các lỗ hổng bảo mật trong hệ thống và báo cáo việc sửa lỗi của họ trước khi gây ra thiệt hại thực sự.

• Grey Hat: Một hacker mũ xám thực hiện các hoạt động hack nhưng có thể không có động cơ xấu đằng sau hành động của họ. Thay vào đó, họ có thể quan tâm đến việc tìm hiểu về cách mọi thứ hoạt động hoặc sử dụng công nghệ mới để giải trí.

  
  

Trong một bài báo được xuất bản bởi Viện Infosec , có một lợi ích tâm lý khi lập hồ sơ tin tặc với trọng tâm là nhận thức về bảo mật. Tuy nhiên, có một mức độ mà hồ sơ có thể đạt được nếu chúng ta phải chuyển hướng ảnh hưởng từ tin tặc sang bị tấn công. Trong trường hợp của Uber, cái sau đã chiếm ưu thế.

Không có nơi nào tên không tặc được nêu tên. Tất cả những gì chúng ta biết về anh ta là họ là một thiếu niên (18 tuổi), người tuyên bố vừa học được một số kỹ năng an ninh mạng. Nhưng mà Uber nói họ được liên kết với Lapsus $ , một nhóm hack khét tiếng. Tuy nhiên, họ là mũ đen, mũ trắng hay mũ xám? Thông tin chi tiết sẽ tiết lộ điều đó. Hãy nhìn vào sự vi phạm.

Vi phạm hoặc rò rỉ dữ liệu là một sự cố bảo mật trong đó xảy ra truy cập trái phép vào dữ liệu. Dữ liệu được truy cập có thể là bí mật, riêng tư hoặc công khai. Một Báo cáo của IBM đặt tổng chi phí cho một vụ vi phạm dữ liệu ở Hoa Kỳ là 4,24 triệu đô la vào năm 2022.

Số liệu thống kê bị thu hẹp. Một Nghiên cứu Comparitech chỉ ra California là tiểu bang chịu nhiều vi phạm dữ liệu nhất ở Hoa Kỳ trong vòng 15 năm. Đáng lo ngại là Uber có trụ sở tại San Francisco, California. Tuy nhiên, chúng tôi không thể đánh giá tác động của vi phạm hoặc kết luận về tin tặc cho đến khi chúng tôi biết những gì đã bị đánh cắp hoặc bị lộ.

... Slack đã bị đánh cắp, dữ liệu bí mật, cùng với những bí mật từ kẻ gian ... '

Slack là một công cụ giao tiếp phổ biến cho các tổ chức, thường được gọi là 'Facebook của công ty'. Đó là một cách tuyệt vời để giúp mọi người trong công ty của bạn cập nhật các dự án vì nó giúp các nhóm chia sẻ tài liệu và tệp.

Do có nhiều tính năng cộng tác và lợi ích tích hợp, Slack tự hào hơn 10 triệu người dùng đang hoạt động. Ngoài ra, 65% trong số 100 Fortune trả tiền cho nền tảng này, không quên 750.000 tổ chức, theo DMR .

Bất chấp những lợi ích của nó, Slack không miễn nhiễm với các mối đe dọa mạng. Sự tăng trưởng người dùng của nó đảm bảo nó thường là mục tiêu xâm nhập của tin tặc. Nếu những kẻ tấn công không nhắm mục tiêu toàn bộ nền tảng, chúng đang tìm kiếm các công ty riêng lẻ trên nền tảng để vi phạm.

Trong năm 2015, Slack bị một cuộc tấn công mạng lớn. Tác động dẫn đến việc áp dụng xác thực hai yếu tố. Mặc dù kể từ đó, công ty vẫn chưa bị xâm phạm toàn diện, nhưng nó đã đóng vai trò như một con đường cửa hậu để xâm nhập vào các công ty khác. Người khổng lồ truyền thông xã hội, Twitter , đã bị tấn công thông qua Slack vào năm 2020; Trình tạo trò chơi điện tử, Nghệ thuật điện tử , vào năm 2021; và bây giờ là dịch vụ gọi xe, Uber.

Trong tất cả các vụ vi phạm này, các công ty đã mất một số phần dữ liệu trị giá hàng trăm đô la. Uber cũng vậy. Tin tặc đã đề cập đến việc đánh cắp Atlassian Confluence của Uber, dữ liệu được lưu trữ được gọi là stash và hai mono-repo (một kho lưu trữ duy nhất với nhiều dự án) từ phần mềm đa nền tảng, Phapterator. Họ chia sẻ thêm rằng họ đã có sẵn những bí mật từ giày thể thao và đăng ảnh chụp màn hình để sao lưu chúng.

Uber, trong báo cáo của nó , đã xác nhận việc truy cập trái phép. Nó đã ngăn chặn hành vi trộm cắp đối với các hệ thống kỹ thuật và truyền thông nội bộ, bao gồm máy chủ Slack, bảng điều khiển AWS, Google Workspace, máy ảo VMware, tài khoản email công ty và quan trọng nhất là chương trình thưởng lỗi HackerOne của công ty, nơi các nhà nghiên cứu thảo luận về các lỗ hổng CNTT quan trọng.

uberunderpaisdrives

Dễ dàng nhận thấy câu nói sâu sắc nhất trong thông báo là thẻ bắt đầu bằng #uberunderpaysdrivers , viết sai thành #uberunderpaisdrives. Không có gì lạ khi tin tặc sử dụng các kỹ năng của họ để gây ra thay đổi xã hội hoặc kinh tế, hoặc đưa ra tuyên bố chính trị. Nhưng điều này có đủ điều kiện cho hành động của kẻ xâm nhập này là đội mũ trắng, mũ đen hay mũ xám không?

Nhìn bề ngoài, Uber có thể đang trả lương thấp cho các tài xế. Năm 2017, công ty dịch vụ gọi xe thừa nhận đã vô tình trả tiền thấp các tay đua ở Thành phố New York trong hơn hai năm. Tuy nhiên, nhìn sâu vào nó, các hacker được biết là núp dưới sự vận động của xã hội để có được tình cảm của công chúng.

Vì vậy, việc dán nhãn cho kẻ xâm nhập có vẻ vội vã. Hiện chưa rõ mức độ thiệt hại khi các cuộc điều tra vẫn tiếp tục. Liệu hacker này có quyền truy cập vào dữ liệu khách hàng nhạy cảm hay không và họ định làm gì với nó vẫn chưa rõ ràng. Trong khi (những) người đó đã tự giới thiệu mình với New York Times và thậm chí đã chia sẻ kênh Telegram của họ để thảo luận về mũ trắng , là một phần của Lapsus $ là mũ đen cho một kế hoạch lớn hơn .

Thịt: Làm thế nào mà hacker xâm nhập được

Theo một loạt các tweet từ Corben Leo , CMO Zellic.io, Sam Curry , Kỹ sư bảo mật, Yugalabs, và VX-Underground , hacker đã sử dụng kỹ thuật xã hội cộng với sự mệt mỏi của MFA.

Kỹ thuật xã hội sử dụng sự tương tác và thao tác của con người để có được quyền truy cập vào hệ thống máy tính. Các kỹ sư xã hội sử dụng sự lừa dối, gây ảnh hưởng và thuyết phục để lừa mọi người cung cấp thông tin bí mật, thực hiện các hành động hoặc cài đặt phần mềm làm tổn hại đến bảo mật. Họ thường đóng vai là thành viên của tổ chức hoặc công ty mục tiêu, hoặc họ có thể đóng vai người khác hoàn toàn (ví dụ: nhân viên thực thi pháp luật).

PurpleSec báo cáo rằng hơn 98% các cuộc tấn công mạng dựa vào kỹ thuật xã hội để cho thấy mức độ nghiêm trọng của hình thức tấn công này.

MFA mệt mỏi đề cập đến việc người dùng cảm thấy nhàm chán với xác thực đa yếu tố (MFA) và cuối cùng chọn không tuân thủ nó. Nó xảy ra vì một số lý do, nhưng lý do phổ biến nhất là người dùng thấy MFA quá bất tiện hoặc khó chịu. Trong trường hợp của Uber, nó đã xảy ra theo cách này:

• Tin tặc đã sử dụng một số kỹ thuật kỹ thuật xã hội để xâm nhập tài khoản của nhân viên Uber (có thể là nhân viên).
• Kẻ tấn công đã gửi nhiều lần thông báo về nhu cầu MFA từ tài khoản của họ. Điều này dẫn đến sự mệt mỏi của MFA ở nhân viên, người cuối cùng đã từ bỏ việc tuân thủ.
• Kẻ tấn công sau đó đã gửi một tin nhắn WhatsApp giả vờ là thành viên của Uber IT, yêu cầu phê duyệt đăng nhập. Nhân viên đã tuân thủ và cấp cho họ quyền truy cập vào tài khoản Slack của họ.
• Từ Slack, kẻ tấn công tiến hành truy cập tài nguyên mạng, nhắm vào các tập lệnh PowerShell.
• Một trong những tập lệnh chứa thông tin xác thực được mã hóa cứng cho tài khoản quản trị viên, cho phép kẻ tấn công có quyền truy cập vào nhiều hệ thống khác.

MFA mệt mỏi không phải là một vectơ tấn công mới — nó đã được sử dụng để chống lại MailChimp và Twilio vào tháng 8 năm nay. Trên thực tế, Uber cũng chịu số phận tương tự vào năm 2016, khi bị mất dữ liệu nhạy cảm vào tay những kẻ xâm nhập.

Bài học an ninh mạng từ vụ vi phạm Uber

Vụ vi phạm đã khiến nhiều chuyên gia cân nhắc ý kiến của họ về những gì các công ty có thể làm để ngăn chặn những cuộc tấn công kiểu này xảy ra trong tương lai. Dưới đây là các bài học sơ bộ lấy từ các chuyên gia an ninh mạng trên CyberWire:

# 1. Những kẻ tấn công có lợi thế

Jai Dargan, Tham mưu trưởng tại Axio, nhắc nhở chúng tôi một lần nữa rằng các cuộc tấn công là không thể tránh khỏi. Mặc dù chúng ta không biết ai đứng sau cuộc tấn công này, nhưng vẫn an toàn khi cho rằng chúng được tài trợ tốt và có động cơ cao. Để làm nổi bật tác động, Báo cáo Insight của Diễn đàn Kinh tế Thế giới đặt các cuộc tấn công mạng và gian lận dữ liệu đứng thứ ba trong triển vọng đáng lo ngại nhất đối với các công ty.

Vụ hack cũng cho chúng ta một cái nhìn thoáng qua về cách những kẻ tấn công đã phát triển. Jyoti Bansal, Đồng sáng lập và Giám đốc điều hành của Traceable AI, cho biết, 'vụ vi phạm của Uber là một ví dụ về cách những kẻ tấn công có lợi thế hơn những người bảo vệ và mục tiêu của chúng đã phát triển như thế nào.' Những kẻ tấn công không còn tìm kiếm lợi nhuận nhanh chóng như họ đã làm trong quá khứ. Bây giờ, họ đang cố gắng đánh cắp dữ liệu để sử dụng trong tương lai — và điều đó có nghĩa là những người bảo vệ phải phù hợp với cách tiếp cận.

# 2. MFA không đủ

Xác thực đa yếu tố (MFA) đã là tiêu chuẩn trong nhiều năm. Tuy nhiên, nó không còn đáng tin cậy nữa, với tất cả các cách mà kẻ tấn công có thể vượt qua nó. CyberArk đã thực hiện một phân tích và tìm thấy ít nhất bốn cách họ có thể phá vỡ MFA hoặc làm giảm lợi ích của nó. Kết quả chỉ ra rằng MFA, chỉ, là không đủ.

Thay vào đó, Darryl Athans, Phó chủ tịch khu vực Bắc Mỹ tại SENHASEGURA, muốn các tổ chức đưa tính năng quản lý truy cập đặc quyền (PAM) và phân tích hành vi người dùng và tổ chức (UEBA) vào MFA của họ. Điều trước đây đảm bảo chỉ những người dùng được ủy quyền mới có quyền truy cập vào dữ liệu nhạy cảm. Phần sau giám sát hành vi của người dùng và phát hiện các điểm bất thường để xác định các mối đe dọa tiềm ẩn trước khi chúng trở thành vấn đề.

# 3. Liên kết con người yếu

Sự vi phạm của Uber như một lời nhắc nhở rằng con người là một trong những mắt xích yếu nhất trong bất kỳ hệ thống an ninh nào. Mật khẩu mạnh và xác thực hai yếu tố là không đủ khi ai đó có thể gọi đến công ty điện thoại di động của bạn và giả mạo là bạn. Cựu Đô đốc Giám đốc NSA, Michael S. Rogers, tin rằng giải pháp là nâng cao nhận thức về bảo mật của người dùng. Dưới đây là những cách được đề xuất để đạt được điều đó:

• Hướng dẫn người dùng của bạn về các rủi ro kỹ thuật xã hội và cách tránh chúng.

• Đảm bảo rằng nhân viên của bạn dành thời gian thay đổi mật khẩu của họ thường xuyên và sử dụng trình quản lý mật khẩu an toàn để giúp họ làm như vậy.

• Tạo một chiến dịch nâng cao nhận thức về sự mệt mỏi của MFA, bao gồm thông tin về nó là gì, tác động của nó đối với an ninh mạng và những gì họ có thể làm.

• Đào tạo nhân viên của bạn về cách nhận dạng các thông báo lừa đảo. Điều này sẽ giúp chúng bắt được các cảnh báo độc hại trước khi chúng rơi vào tình trạng nguy hiểm.

  
  

#4. Không tin tưởng là một điều cần thiết

Một bài học khác là cần phải loại bỏ sự tin tưởng ngầm bằng cách xác minh và xác nhận mọi giai đoạn của quy trình bảo mật. Làm điều này được gọi là không tin tưởng và theo một báo cáo của IBM , nó giúp giảm chi phí. Các công ty không tin tưởng thường ít hơn 1,76 triệu đô la so với các công ty không chấp nhận.

John Dasher, Phó chủ tịch Tiếp thị Sản phẩm tại Banyan Security, tin rằng giải pháp là khắc phục những điểm yếu của con người bằng công nghệ không tin cậy. Bằng cách áp dụng chiến lược tin cậy bằng không, sử dụng nguyên tắc truy cập đặc quyền ít nhất và sử dụng độ tin cậy của thiết bị, bạn có thể giúp đưa phán đoán của con người ra khỏi phương trình.

Điều gì tiếp theo cho Uber sau vụ vi phạm?

Uber đã thông báo rằng họ sẽ đưa công cụ phần mềm nội bộ của mình trở lại sau khi gỡ bỏ nó như một biện pháp phòng ngừa sau vi phạm. Các dịch vụ hiện đã hoạt động. Trong báo cáo mới nhất của mình, họ cho biết không có dữ liệu người dùng nhạy cảm nào bị xâm phạm. Tuy nhiên, các chuyên gia tin rằng lỗ hổng này là do tiếp cận sâu.

Dựa theo một nghiên cứu của Comparitech , các công ty bị vi phạm hoạt động kém hiệu quả trên thị trường do nhận thức thương hiệu kém. Vụ vi phạm đã ảnh hưởng đến hoạt động của Uber trên thị trường. Kiểm tra vào thứ Ba, cổ phiếu (NYSE: UBER) giao dịch thấp hơn 0,35% ở mức 31,38 đô la tiền thị trường. Vẫn còn phải xem Uber xử lý tình huống này như thế nào — liệu họ có thể phục hồi đủ nhanh cho các nhà đầu tư và khách hàng hay không.

Đã cập nhật

Cảnh sát Anh đã bắt giữ kẻ bị cáo buộc đứng sau vụ đột nhập Uber, tên được tiết lộ là Tea Pot (hay còn gọi là teapotuberhacker). Người đàn ông trẻ được cho là khoảng 17 tuổi chứ không phải 18 như tin trước đó.

Theo một dòng tweet của Cảnh sát Thành phố London , anh ta đã bị bắt ở Oxfordshire cùng với 7 thanh thiếu niên khác. Tin tặc đã sử dụng "Breachbase" và "White" làm bí danh trực tuyến của mình. Các báo cáo nói rằng anh ta đã kiếm được khoảng 14 triệu đô la từ tội phạm mạng.