Sự tàn phá của Uber Hack chỉ là

Vào tối thứ Năm, Uber khổng lồ đi xe chung đã xác nhận rằng nó đang phản hồi “một sự cố an ninh mạng” và đang liên hệ với cơ quan thực thi pháp luật về vi phạm. Một thực thể tự xưng là một hacker 18 tuổi đã nhận trách nhiệm về vụ tấn công, khoe khoang với nhiều nhà nghiên cứu bảo mật về các bước họ đã thực hiện để xâm phạm công ty. Kẻ tấn công được báo cáo đã đăng, “Xin chào @ đây tôi thông báo tôi là một tin tặc và Uber đã bị vi phạm dữ liệu,” trong một kênh trên Slack của Uber vào tối thứ Năm. Bài đăng trên Slack cũng liệt kê một số cơ sở dữ liệu và dịch vụ đám mây của Uber mà hacker tuyên bố đã xâm phạm. Thông báo được báo cáo kết thúc bằng đăng xuất, “uberunderpaisdrives.”

Công ty đã tạm thời gỡ bỏ quyền truy cập vào tối thứ Năm đối với Slack và một số dịch vụ nội bộ khác, theo Thời báo New York, báo cáo đầu tiên về vi phạm. Trong một bản cập nhật giữa trưa ngày thứ Sáu, công ty cho biết “các công cụ phần mềm nội bộ mà chúng tôi đã gỡ xuống để đề phòng ngày hôm qua sẽ trở lại trực tuyến.” Đưa ra ngôn ngữ thông báo vi phạm được tôn trọng về mặt thời gian, Uber cũng cho biết hôm thứ Sáu rằng họ “không có bằng chứng cho thấy vụ việc liên quan đến quyền truy cập vào dữ liệu nhạy cảm của người dùng (như lịch sử chuyến đi).” Tuy nhiên, ảnh chụp màn hình bị kẻ tấn công rò rỉ cho thấy hệ thống của Uber có thể đã bị xâm nhập sâu và triệt để và bất kỳ thứ gì mà kẻ tấn công không truy cập có thể là do thời gian có hạn chứ không phải do cơ hội hạn chế.

Kỹ sư bảo mật tấn công Cedric Owens nói về các chiến thuật lừa đảo và kỹ thuật xã hội mà hacker tuyên bố sử dụng để xâm phạm công ty: “Đó là điều gây thất vọng và Uber chắc chắn không phải là công ty duy nhất mà phương pháp này có thể chống lại. “Các kỹ thuật được đề cập trong vụ hack này cho đến nay khá giống với những gì mà rất nhiều đội đỏ, bao gồm cả tôi, đã sử dụng trong quá khứ. Vì vậy, thật không may, những vi phạm kiểu này không còn khiến tôi ngạc nhiên nữa ”.

Kẻ tấn công, người không thể liên hệ với WIRED để nhận xét, yêu sách rằng lần đầu tiên họ có được quyền truy cập vào các hệ thống của công ty bằng cách nhắm mục tiêu một nhân viên cá nhân và liên tục gửi cho họ thông báo đăng nhập xác thực đa yếu tố. Sau hơn một giờ, kẻ tấn công tuyên bố, họ đã liên hệ với cùng một mục tiêu trên WhatsApp giả vờ là một nhân viên CNTT của Uber và nói rằng các thông báo MFA sẽ dừng lại sau khi mục tiêu chấp thuận đăng nhập.

Các cuộc tấn công như vậy, đôi khi được gọi là các cuộc tấn công “MFA mệt mỏi” hoặc “kiệt sức”, lợi dụng các hệ thống xác thực trong đó chủ sở hữu tài khoản chỉ cần phê duyệt đăng nhập thông qua thông báo đẩy trên thiết bị của họ thay vì thông qua các phương tiện khác, chẳng hạn như cung cấp mã số. Lừa đảo nhắc nhở MFA ngày càng nhiều phổ biến với những kẻ tấn công. Và nói chung, tin tặc đã ngày càng phát triển các cuộc tấn công lừa đảo để làm việc xung quanh xác thực hai yếu tố khi nhiều công ty triển khai nó. Ví dụ, vụ vi phạm Twilio gần đây đã minh họa hậu quả nghiêm trọng như thế nào khi một công ty cung cấp dịch vụ xác thực đa yếu tố bị xâm phạm. Các tổ chức yêu cầu khóa xác thực vật lý để đăng nhập đã thành công trong việc bảo vệ mình trước các cuộc tấn công kỹ thuật xã hội từ xa như vậy.

Cụm từ “không tin cậy” đã trở thành một từ thông dụng đôi khi vô nghĩa trong ngành bảo mật, nhưng vụ vi phạm của Uber dường như ít nhất cho thấy một ví dụ về việc không tin cậy là gì. Sau khi kẻ tấn công có quyền truy cập ban đầu vào bên trong công ty, họ yêu cầu họ có thể truy cập các tài nguyên được chia sẻ trên mạng bao gồm các tập lệnh cho chương trình quản lý và tự động hóa PowerShell của Microsoft. Những kẻ tấn công nói rằng một trong những đoạn mã chứa thông tin xác thực được mã hóa cứng cho tài khoản quản trị viên của hệ thống quản lý truy cập Thycotic. Với quyền kiểm soát tài khoản này, kẻ tấn công tuyên bố, họ có thể lấy được mã thông báo truy cập cho cơ sở hạ tầng đám mây của Uber, bao gồm Amazon Web Services, GSuite của Google, bảng điều khiển vSphere của VMware, trình quản lý xác thực Duo và dịch vụ quản lý truy cập và nhận dạng quan trọng OneLogin.