Uber, en una actualizaci\u00f3n, dijo que “no hay evidencia” de que la informaci\u00f3n privada de los usuarios se haya visto comprometida en una violaci\u00f3n de sus sistemas inform\u00e1ticos internos que se descubri\u00f3 el jueves por la noche.<\/p>\n
“No tenemos evidencia de que el incidente involucr\u00f3 el acceso a datos confidenciales del usuario (como el historial de viajes)”, dijo la compa\u00f1\u00eda. dijo<\/a>. “Todos nuestros servicios, incluidos Uber, Uber Eats, Uber Freight y la aplicaci\u00f3n Uber Driver, est\u00e1n operativos”.<\/p>\n La compa\u00f1\u00eda de transporte tambi\u00e9n dijo que volvi\u00f3 a poner en l\u00ednea todas las herramientas de software internas que elimin\u00f3 anteriormente como medida de precauci\u00f3n, reiterando que notific\u00f3 a la polic\u00eda sobre el asunto.<\/p>\n No est\u00e1 claro de inmediato si el incidente result\u00f3 en el robo de otra informaci\u00f3n o cu\u00e1nto tiempo estuvo el intruso dentro de la red de Uber.<\/p>\n Uber no ha proporcionado m\u00e1s detalles sobre c\u00f3mo se desarroll\u00f3 el incidente m\u00e1s all\u00e1 de decir que su investigaci\u00f3n y los esfuerzos de respuesta est\u00e1n en curso. Pero el investigador de seguridad independiente Bill Demirkapi caracteriz\u00f3 la postura de “sin evidencia” de Uber como “incompleta”.<\/p>\n “‘No hay evidencia’ podr\u00eda significar que el atacante s\u00ed tuvo acceso, Uber simplemente no ha encontrado evidencia de que el atacante *us\u00f3* ese acceso para datos de usuario ‘sensibles'”, Demirkapi dijo<\/a>. “Decir expl\u00edcitamente datos de usuario ‘sensibles’ en lugar de datos de usuario en general tambi\u00e9n es extra\u00f1o”.<\/p>\n La violaci\u00f3n presuntamente involucr\u00f3 a un hacker solitario, un adolescente de 18 a\u00f1os, que enga\u00f1\u00f3 a un empleado de Uber para que proporcionara acceso a la cuenta mediante ingenier\u00eda social a la v\u00edctima para que aceptara un aviso de autenticaci\u00f3n multifactor (MFA) que permit\u00eda al atacante registrar su propio dispositivo.<\/p>\n Al obtener un punto de apoyo inicial, el atacante encontr\u00f3 un recurso compartido de red interna<\/a> que conten\u00eda scripts de PowerShell con credenciales de administrador privilegiadas, otorgando acceso de carta blanca a otros sistemas cr\u00edticos, incluidos AWS, Google Cloud Platform, OneLogin, el portal de respuesta a incidentes de SentinelOne y Slack.<\/p>\n Preocupante, como revel\u00f3<\/a> por el investigador de seguridad Sam Curry, tambi\u00e9n se dice que el hacker adolescente se apoder\u00f3 de los informes de vulnerabilidad divulgados de forma privada enviados a trav\u00e9s de HackerOne como parte del programa de recompensas por errores de Uber.<\/p>\n Desde entonces, HackerOne se ha mudado a deshabilitar la cuenta de Uber<\/a>pero el acceso no autorizado a fallas de seguridad sin parchear en la plataforma podr\u00eda representar un gran riesgo de seguridad para la empresa con sede en San Francisco si el pirata inform\u00e1tico opta por vender la informaci\u00f3n a otros actores de amenazas para obtener una ganancia r\u00e1pida.<\/p>\n Hasta el momento, las motivaciones del atacante detr\u00e1s de la violaci\u00f3n no est\u00e1n claras, aunque un mensaje publicado por el hacker anunciando el incumplimiento<\/a> en Slack incluy\u00f3 un pedido de salarios m\u00e1s altos para los conductores de Uber.<\/p>\n Un informe separado de The Washington Post se\u00f1alado<\/a> que el atacante irrumpi\u00f3 en las redes de la empresa por diversi\u00f3n y podr\u00eda filtrar el c\u00f3digo fuente de la empresa en cuesti\u00f3n de meses, al tiempo que describi\u00f3 la seguridad de Uber como “horrible”.<\/p>\n “Muchas veces solo hablamos de APT, como estados nacionales, y nos olvidamos de otros actores de amenazas, incluidos empleados descontentos, personas internas y, como en este caso, hacktivistas”, dijo Ismael Valenzuela Espejo, vicepresidente de investigaci\u00f3n e inteligencia de amenazas en BlackBerry. .<\/p>\n “Las organizaciones deben incluir estos como parte de sus ejercicios de modelado de amenazas para determinar qui\u00e9n puede tener una motivaci\u00f3n para atacar a la empresa, su nivel de habilidad y capacidades, y cu\u00e1l podr\u00eda ser el impacto de acuerdo con ese an\u00e1lisis”.<\/p>\n El ataque dirigido a Uber, as\u00ed como la reciente serie de incidentes contra Twilio, Cloudflare, Cisco y LastPass, ilustran c\u00f3mo la ingenier\u00eda social sigue siendo una espina persistente para las organizaciones.<\/p>\n Tambi\u00e9n muestra que todo lo que se necesita para que se produzca una infracci\u00f3n es que un empleado comparta sus credenciales de inicio de sesi\u00f3n, lo que demuestra que la autenticaci\u00f3n basada en contrase\u00f1a es un eslab\u00f3n d\u00e9bil en la seguridad de la cuenta.<\/p>\n “Una vez m\u00e1s, vemos que la seguridad de una empresa es tan buena como la de sus empleados m\u00e1s vulnerables”, dijo Masha Sedova, cofundadora y presidenta de Elevate Security, en un comunicado.<\/p>\n “Necesitamos pensar m\u00e1s all\u00e1 de la capacitaci\u00f3n gen\u00e9rica, en su lugar, emparejemos a nuestros empleados m\u00e1s riesgosos con controles de protecci\u00f3n m\u00e1s espec\u00edficos. Mientras sigamos abordando la seguridad cibern\u00e9tica \u00fanicamente como un desaf\u00edo t\u00e9cnico, seguiremos perdiendo esta batalla”, agreg\u00f3 Sedova.<\/p>\n Incidentes como estos tambi\u00e9n son una prueba de que los c\u00f3digos de contrase\u00f1a de un solo uso basados \u200b\u200ben el tiempo (TOTP), generalmente generados a trav\u00e9s de aplicaciones de autenticaci\u00f3n o enviados como mensajes SMS, son inadecuados para proteger los obst\u00e1culos de 2FA.<\/p>\n Una forma de contrarrestar tales amenazas es el uso de dispositivos compatibles con FIDO2 resistentes al phishing. llaves de seguridad fisicas<\/a>que descarta contrase\u00f1as a favor de un dispositivo de hardware externo que maneja la autenticaci\u00f3n.<\/p>\n “Los proveedores de MFA deber\u00edan *por defecto* bloquear autom\u00e1ticamente las cuentas temporalmente cuando se env\u00edan demasiados avisos en un corto per\u00edodo de tiempo”, dijo Demirkapi, instando a las organizaciones a limitar el acceso privilegiado.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n![\"hackear](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/09\/1663413746_481_Uber-afirma-que-no-se-expusieron-datos-confidenciales-en-la.jpg\" "\\"hackear")
<\/div>\n![\"hackear](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/09\/1663413746_333_Uber-afirma-que-no-se-expusieron-datos-confidenciales-en-la.jpg\" "\\"hackear")
<\/div>\n![\"hackear](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/09\/1663413747_118_Uber-afirma-que-no-se-expusieron-datos-confidenciales-en-la.jpg\" "\\"hackear")
<\/div>\n![\"hackear](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/09\/1663413747_280_Uber-afirma-que-no-se-expusieron-datos-confidenciales-en-la.jpg\" "\\"hackear")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1660939153_598_La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n