Uber, en una actualización, dijo que «no hay evidencia» de que la información privada de los usuarios se haya visto comprometida en una violación de sus sistemas informáticos internos que se descubrió el jueves por la noche.
«No tenemos evidencia de que el incidente involucró el acceso a datos confidenciales del usuario (como el historial de viajes)», dijo la compañía. dijo. «Todos nuestros servicios, incluidos Uber, Uber Eats, Uber Freight y la aplicación Uber Driver, están operativos».
La compañía de transporte también dijo que volvió a poner en línea todas las herramientas de software internas que eliminó anteriormente como medida de precaución, reiterando que notificó a la policía sobre el asunto.
No está claro de inmediato si el incidente resultó en el robo de otra información o cuánto tiempo estuvo el intruso dentro de la red de Uber.
Uber no ha proporcionado más detalles sobre cómo se desarrolló el incidente más allá de decir que su investigación y los esfuerzos de respuesta están en curso. Pero el investigador de seguridad independiente Bill Demirkapi caracterizó la postura de «sin evidencia» de Uber como «incompleta».
«‘No hay evidencia’ podría significar que el atacante sí tuvo acceso, Uber simplemente no ha encontrado evidencia de que el atacante *usó* ese acceso para datos de usuario ‘sensibles'», Demirkapi dijo. «Decir explícitamente datos de usuario ‘sensibles’ en lugar de datos de usuario en general también es extraño».
La violación presuntamente involucró a un hacker solitario, un adolescente de 18 años, que engañó a un empleado de Uber para que proporcionara acceso a la cuenta mediante ingeniería social a la víctima para que aceptara un aviso de autenticación multifactor (MFA) que permitía al atacante registrar su propio dispositivo.
Al obtener un punto de apoyo inicial, el atacante encontró un recurso compartido de red interna que contenía scripts de PowerShell con credenciales de administrador privilegiadas, otorgando acceso de carta blanca a otros sistemas críticos, incluidos AWS, Google Cloud Platform, OneLogin, el portal de respuesta a incidentes de SentinelOne y Slack.
Preocupante, como reveló por el investigador de seguridad Sam Curry, también se dice que el hacker adolescente se apoderó de los informes de vulnerabilidad divulgados de forma privada enviados a través de HackerOne como parte del programa de recompensas por errores de Uber.
Desde entonces, HackerOne se ha mudado a deshabilitar la cuenta de Uberpero el acceso no autorizado a fallas de seguridad sin parchear en la plataforma podría representar un gran riesgo de seguridad para la empresa con sede en San Francisco si el pirata informático opta por vender la información a otros actores de amenazas para obtener una ganancia rápida.
Hasta el momento, las motivaciones del atacante detrás de la violación no están claras, aunque un mensaje publicado por el hacker anunciando el incumplimiento en Slack incluyó un pedido de salarios más altos para los conductores de Uber.
Un informe separado de The Washington Post señalado que el atacante irrumpió en las redes de la empresa por diversión y podría filtrar el código fuente de la empresa en cuestión de meses, al tiempo que describió la seguridad de Uber como «horrible».
«Muchas veces solo hablamos de APT, como estados nacionales, y nos olvidamos de otros actores de amenazas, incluidos empleados descontentos, personas internas y, como en este caso, hacktivistas», dijo Ismael Valenzuela Espejo, vicepresidente de investigación e inteligencia de amenazas en BlackBerry. .
«Las organizaciones deben incluir estos como parte de sus ejercicios de modelado de amenazas para determinar quién puede tener una motivación para atacar a la empresa, su nivel de habilidad y capacidades, y cuál podría ser el impacto de acuerdo con ese análisis».
El ataque dirigido a Uber, así como la reciente serie de incidentes contra Twilio, Cloudflare, Cisco y LastPass, ilustran cómo la ingeniería social sigue siendo una espina persistente para las organizaciones.
También muestra que todo lo que se necesita para que se produzca una infracción es que un empleado comparta sus credenciales de inicio de sesión, lo que demuestra que la autenticación basada en contraseña es un eslabón débil en la seguridad de la cuenta.
«Una vez más, vemos que la seguridad de una empresa es tan buena como la de sus empleados más vulnerables», dijo Masha Sedova, cofundadora y presidenta de Elevate Security, en un comunicado.
«Necesitamos pensar más allá de la capacitación genérica, en su lugar, emparejemos a nuestros empleados más riesgosos con controles de protección más específicos. Mientras sigamos abordando la seguridad cibernética únicamente como un desafío técnico, seguiremos perdiendo esta batalla», agregó Sedova.
Incidentes como estos también son una prueba de que los códigos de contraseña de un solo uso basados en el tiempo (TOTP), generalmente generados a través de aplicaciones de autenticación o enviados como mensajes SMS, son inadecuados para proteger los obstáculos de 2FA.
Una forma de contrarrestar tales amenazas es el uso de dispositivos compatibles con FIDO2 resistentes al phishing. llaves de seguridad fisicasque descarta contraseñas a favor de un dispositivo de hardware externo que maneja la autenticación.
«Los proveedores de MFA deberían *por defecto* bloquear automáticamente las cuentas temporalmente cuando se envían demasiados avisos en un corto período de tiempo», dijo Demirkapi, instando a las organizaciones a limitar el acceso privilegiado.