Uber, geçen hafta Uber’deki büyük ihlali kötü şöhretli Lapsus$ hack grubuna bağladı ve saldırıyla ilgili ek ayrıntılar yayınladı. Araştırmacılar, olayın çok faktörlü kimlik doğrulamaya (MFA) çok fazla güvenmenin yanı sıra bulut hizmetinin benimsenmesiyle ilgili yönetilmeyen risklerden kaynaklanabilecek riskleri vurguladığını söylüyor.
Pazartesi günü yapılan bir güncellemede Uber, atıfları ortaya koydu: “Bu saldırganın (veya saldırganların) adlı bir bilgisayar korsanlığı grubuna bağlı olduğuna inanıyoruz. Lapsus$Uber’in duyurusu, kötü şöhretli çete tarafından Cisco, Microsoft, Nvidia, Okta ve Samsung gibi benzer tekniklerle hedef alınan diğer şirketlere işaret etti.
Lapsus$, son aylarda dünyanın en büyük ve tanınmış şirketlerinden bazılarına yaptığı küstah saldırılar nedeniyle büyük ilgi gördü. Grubun kullandığı bilinen bir taktik, saldırı zincirine MFA atlatma araçlarını dahil etmektir.
Ve gerçekten de, Pazartesi günü Uber, geçen hafta ağını ihlal eden saldırganın ilk önce harici bir yüklenicinin VPN kimlik bilgilerini aldı, muhtemelen bunları Dark Web’den satın alarak. Saldırgan daha sonra yasadışı olarak elde edilen kimlik bilgilerini kullanarak Uber hesabına tekrar tekrar giriş yapmayı denedi ve her seferinde iki faktörlü bir giriş onayı talebi istedi.
Yüklenici başlangıçta bu istekleri engelledikten sonra, saldırgan, WhatsApp’ta teknik destek gibi davranarak hedefle iletişime geçerek kişiye MFA istemini kabul etmesini söyleyerek saldırganın oturum açmasına izin verdi.
Xage CEO’su Duncan Greenwood, “Uber ihlali, MFA bombalama saldırısı olarak da adlandırılan bir MFA yorgunluk saldırısının bir sonucu gibi görünüyor” diyor. “Bilgisayar korsanlarının, bir kullanıcının istemeden erişim sağlamasını umarak veya sonunda bir isteği onaylayacak kadar hüsrana uğrayarak, cep telefonu gibi ikincil bir cihaza birden çok kimlik doğrulama onayı isteği gönderdiği bir tekniktir.”
İyileştirme Süreci Başlıyor
Saldırgan içeri girdikten sonra birden fazla dahili sistemi ihlal etti ve Uber şu anda bir etki analizi yapıyor, şirket şunları söyledi: G Suite ve Slack.”
Şirket, saldırganın kod tabanında herhangi bir değişiklik yapmadığını ve bulut sağlayıcıları tarafından depolanan herhangi bir müşteri veya kullanıcı verisine erişiminin olmadığını söyledi. Saldırganın bazı dahili Slack mesajlarını indirdiği ve Uber’in finans ekibinin faturaları yönetmek için kullandığı dahili bir araca eriştiği veya indirdiği görülüyor. Uber, saldırganın HackerOne bug-bounty programı aracılığıyla harici araştırmacılar tarafından sunulan platformundaki bir güvenlik açığı açıklamaları veritabanına da erişmesine rağmen, tüm hataların giderildiğini söyledi.
İhlal, MFA’nın Zayıf Yönlerini Gösterir
Greenwood, MFA yorgunluk saldırılarını hedef organizasyonları ihlal etmek için çok etkili bir taktik olarak tanımlıyor. Şirketinin, saldırganların genellikle gecenin ortasında sık sık MFA istekleri gönderdiğini veya birkaç gün içinde daha az sıklıkta istek gönderdiğini gözlemlediğini söylüyor.
“Her iki durumda da, geleneksel MFA mimarilerinde, bir bilgisayar korsanının hedef kuruluşa daha fazla sızabileceği dahili sistemlere erişmesi için tek bir onaylanmış istek yeterlidir” diyor.
Uber’in güvenlik uygulamaları, ihlal nedeniyle kesinlikle incelemeye alınacak. Ancak gerçek şu ki, araştırmacılar, şirketin birçok kuruluşta ortak olan uygulamaların kurbanı olduğunu belirtiyor.
Keeper Security’de güvenlik ve mimariden sorumlu başkan yardımcısı Patrick Tiquet, Uber saldırısının, erişimi güvenli hale getirme yöntemi olarak MFA’nın gücüyle ilgili temel bir yanılgıyı vurguladığını söylüyor.
“MFA, hesaplarınıza kritik bir ikinci güvenlik katmanı eklese de, MFA hakkındaki en büyük yanılgı, tüm formların eşit derecede güvenli olduğudur” diyor.
MFA’nın nasıl başarısız olabileceğine bir örnek, SIM kart taşıma, yani SIM değiştirme, Tiquet notlarıdır. Saldırganların, hedef numara için SMS mesajları veya telefon aramaları almak için kontrol ettikleri bir SIM karta veya cihaza bir cep telefonu numarası taşıdığı yer burasıdır.
Tiquet, “SMS metin mesajlarının MFA olarak kullanılması önerilmemeli ve asla yüksek değerli varlıklar için MFA olarak kullanılmamalıdır” diyor. “Bir kimlik doğrulama uygulaması, güvenlik anahtarı veya biyometri kullanımı, hesaplarınızı korumak için daha güçlü ve daha etkili yöntemlerdir.”
Güvenlik araştırmacısı Bill Demirkapi, çok yaygın bir başka yanlış anlamanın, itme, dokunma ve mobil gibi standart MFA biçimlerinin sosyal mühendisliğe karşı koruma sağlaması olduğunu açıklıyor. Gerçek şu ki, MFA ortadaki adam (MitM) saldırılarına karşı savunmasız kalmaya devam ediyor, diyor.
En iyi uygulamaların, zamana dayalı tek seferlik parolalar (TOTP) yerine kimlik avına ve MiTM’ye dayanıklı MFA formlarını kullanmayı, erişim anahtarlarını merkezileştirmemeyi ve anahtarları düzenli olarak döndürmeyi içerdiğini belirtiyor. İkinci noktada, kuruluşlar genellikle erişim anahtarlarını, anahtarın kullanım amacı için gereken minimum ayrıcalıklarla sınırlamazlar.
“Uber en iyi uygulamaları takip etmemiş olabilir, ancak diğer birçok şirket de izlemiyor” diyor. “Eve gitmek istediğim ana nokta, yalnızca kuruluşunuz için güvenliğe yatırım yapmanın değil, aynı zamanda özellikle bu en iyi uygulamalara da yatırım yapmanın önemidir.”
Unutulmamalıdır ki Uber ihlali, son birkaç gündeki tek yüksek profilli isabet değil; Bu olayda sorumluluğu üstlenen aynı Lapsus$ korsanı (veya en azından Uber korsanının kullandığı aynı “Çaydanlık” takma adını kullanan biri) şimdi Take-Two Interactive’in Rockstar Games’ini de ihlal etmiş ve erken geliştirme kopyasının videolarını yayınlamış görünüyor. Grand Theft Auto 6 video oyunu. Bir mesajda, şirket ihlali kabul etti ve oyunun detaylarının piyasaya sürülmeden önce sızdırılmasının “son derece hayal kırıklığına uğradığını” söyledi.
Bulut Hizmetinin Kabulü Riski Artırıyor
MFA, birçok şirket için tek zayıf halka değildir. Nudge Security’nin kurucu ortağı ve CEO’su Russell Spitler, daha üst düzeyde, Uber’deki gibi ihlallerin hızlı bulut hizmetlerinin benimsenmesi ve dağıtılmış çalışma modellerinin kurumsal güvenlik stratejileri üzerindeki etkisini gösterdiğini söylüyor.
Daha dağıtılmış bir modele geçiş, iş açısından kritik ortamlarda Slack ve WhatsApp gibi eşzamansız iletişim araçlarına kurumsal güveni artırdı, diyor. SaaS’ın hızla benimsenmesi, kötü yönetilen hizmetler arasında karmaşık entegrasyonlar şeklinde yönetilmeyen bir risk yarattı.
Spitler, “Uber’deki son ihlal, modern, dağıtılmış BT ortamlarının yayılan karmaşıklığı ve yayılan dijital tedarik zincirleri tarafından güvenlik kuruluşlarının geride kaldığı gerçeğine işaret ediyor” diyor Spitler. “Bu karmaşıklık, en acemi tehdit aktörlerinin bile güvenliği ihlal edilmiş kimlik bilgilerini ve [finding] kritik varlıklara giden yol.”