La devastación del hackeo a Uber apenas comienza a desvelarse
Un presunto hacker adolescente afirma haber obtenido un acceso profundo a los sistemas de la empresa
El gigante de viajes compartidos Uber confirmó el jueves por la noche que estaba respondiendo a "un incidente de seguridad cibernética" y que se estaba comunicando con las fuerzas del orden sobre la brecha de seguridad.
Una entidad que afirma ser un hacker individual de 18 años asumió la responsabilidad del ataque, alardeando ante varios investigadores de seguridad sobre los pasos que tomaron para romper la seguridad de la empresa.
Según los informes, el atacante publicó: "Hola @here anuncio que soy un hacker y Uber ha sufrido un robo de datos", en un canal en Slack de Uber el jueves por la noche. La publicación de Slack también enumeró una serie de bases de datos y servicios en la nube de Uber a los que el pirata informático afirmó haber accedido. Según los informes, el mensaje concluyó con la firma, "uberunderpaisdrives".
La compañía desactivó temporalmente el acceso a Slack el jueves por la noche y algunos otros servicios internos, según The New York Times, que fue el primero en informar sobre el incidente. En una actualización del mediodía del viernes, la compañía dijo que "las herramientas de software internas que desactivamos ayer como precaución están volviendo a estar en línea". Invocando el tradicional lenguaje de notificación de infracciones, Uber también dijo el viernes que "no tiene evidencia de que el incidente involucre el acceso a datos confidenciales del usuario (como el historial de viajes)".
Sin embargo, las capturas de pantalla filtradas por el atacante indican que los sistemas de Uber pueden haber sido comprometidos profunda y completamente y que cualquier cosa a la que el atacante no accedió puede haber sido el resultado de un tiempo limitado en lugar de una oportunidad limitada.
"Es desalentador, y Uber definitivamente no es la única empresa contra la que funcionaría este enfoque", dice el ingeniero de seguridad ofensivo Cedric Owens sobre las tácticas de phishing e ingeniería social que el hacker afirmó usar para hackear a la empresa. "Las técnicas mencionadas en este truco hasta ahora son bastante similares a las que muchos miembros del equipo rojo, incluido yo mismo, hemos usado en el pasado. Entonces, desafortunadamente, este tipo de ataques ya no me sorprenden".
El atacante afirma que primero obtuvo acceso a los sistemas de la empresa dirigiéndose a un empleado individual y enviándole repetidamente notificaciones de inicio de sesión de autenticación multifactor (MFA). Después de más de una hora, afirma el atacante, contactaron al mismo objetivo en WhatsApp fingiendo ser una persona de TI de Uber y diciendo que las notificaciones MFA se detendrían una vez que el objetivo aprobara el inicio de sesión.
Dichos ataques, a veces conocidos como ataques de "fatiga" o "agotamiento" de MFA, aprovechan los sistemas de autenticación en los que los propietarios de cuentas simplemente tienen que aprobar un inicio de sesión a través de una notificación automática en su dispositivo en lugar de otros medios, como proporcionar un código generado aleatoriamente.
Los phishes de MFA-prompt se han vuelto cada vez más populares entre los atacantes. Y, en general, los piratas informáticos han desarrollado cada vez más ataques de phishing para evitar la autenticación de dos factores a medida que la implementan más empresas.
La reciente filtración de Twilio, por ejemplo, ilustró cuán nefastas pueden ser las consecuencias cuando se ve comprometida una empresa que brinda servicios de autenticación multifactor. Las organizaciones que requieren claves de autenticación física para los inicios de sesión han tenido éxito al defenderse de estos ataques remotos de ingeniería social.
La frase "confianza cero" se ha convertido en una palabra de moda a veces sin sentido en la industria de la seguridad, pero la brecha de seguridad de Uber parece al menos mostrar un ejemplo de lo que no es la confianza cero.
Una vez que el atacante tuvo acceso inicial dentro de la empresa, afirma que pudo acceder a recursos compartidos en la red que incluían scripts para el programa de administración y automatización de Microsoft, PowerShell. Los atacantes dijeron que uno de los scripts contenía credenciales codificadas para una cuenta de administrador del sistema de administración de acceso Thycotic. Con el control de esta cuenta, afirmó el atacante, pudieron obtener tokens de acceso para la infraestructura en la nube de Uber, incluidos Amazon Web Services, GSuite de Google, el panel vSphere de VMware, el administrador de autenticación Duo y el servicio crítico de administración de acceso e identidad OneLogin.
Las capturas de pantalla filtradas por el atacante respaldan las afirmaciones de este acceso profundo, incluido OneLogin. En un análisis del viernes, los investigadores de la firma de seguridad cibernética Group IB sugirieron que el atacante pudo haber hackeado Uber por primera vez a principios de esta semana y solo dio a conocer su presencia el jueves.
Lots of screenshots going around about Uber but this one shows how wide the hack is.
— _MG_ (@_MG_) September 16, 2022
"Security Response Break Glass Service Account" password 🔥 pic.twitter.com/pvz12cJrBY
Un ingeniero de seguridad independiente describió el acceso a la cuenta de OneLogin al que parece haber tenido acceso el hacker de Uber como "el premio gordo de la loteria".
"Eso es como Dios, son dueños de que no hay nada a lo que no puedan acceder", agregó el ingeniero de seguridad. "Es Disneyland. Es un cheque en blanco en la tienda de golosinas y la mañana de Navidad, todo junto. Pero claro, los datos de viaje de los clientes no se vieron afectados. OK".
La situación en Uber se produce inmediatamente después del testimonio ante el Congreso el miércoles del exjefe de seguridad de Twitter, Peiter "Mudge" Zatko, quien invocó la protección de los denunciantes como parte de las acusaciones que alegan deplorables prácticas de seguridad dentro del gigante de las redes sociales. El testimonio de Zatko esta semana entusiasmó a los senadores sobre la importancia de la seguridad dentro de Big Tech.
Pero en el pasado, incluso los hackeos más terribles y ruidosos solo han llevado a un progreso incremental en las mejores prácticas más básicas. El testimonio de Zatko no pareció afectar en absoluto el precio de las acciones de Twitter el miércoles. Las acciones de Uber tuvieron una pequeña caída el viernes por la mañana, pero se habían recuperado parcialmente cuando sonó la campana de cierre.
Por ahora, se desconoce el alcance total de la situación dentro del gigante de los viajes compartidos.
"Creo que hay muchas oportunidades para trabajar en detecciones y prevenciones de forma proactiva", dice el ingeniero de seguridad ofensiva Owens. "Sin embargo, esto puede ser difícil de ejecutar en la práctica, cuando hay muchos otros incendios que apagar, desafíos políticos dentro de una organización, etcétera. Tal vez me estoy cansando lentamente desde que he estado en este espacio por un tiempo".
