Как исправить такой взлом, как у Uber? • ТехКранч

Оседлайте приветствующего гиганта Uber заявляет, что его услуги работают после «инцидента кибербезопасности» на прошлой неделе, когда хакер взломал сеть компании и получил доступ к системам, в которых хранится огромное количество данных о клиентах.

Uber мало говорил об инциденте до понедельника. Скриншоты внутри сети Uber опубликовано в твиттере исследователями безопасности в разговорах с хакером показал доступ на внутренние информационные панели, Slack компании и ее учетные записи HackerOne. Uber сообщил в своем обновлении в понедельник, что хакер украл некоторую внутреннюю информацию и сообщения Slack, но что никакая конфиденциальная информация, такая как данные кредитной карты и история поездок, не была украдена, поэтому вопрос о том, была ли скомпрометирована другая личная информация пользователя, остается открытым.

Хакер, который утверждает, что ему 18 лет, рассказал исследователям в области безопасности, что они взломали системы Uber, украв пароль сотрудника, а также обманом заставили сотрудника одобрить push-уведомление злоумышленника для многофакторной аутентификации Uber или MFA.

Как только они закрепились в сети Uber, хакер заявил, что нашел сетевую папку, содержащую учетные данные с высоким уровнем привилегий, которые предоставил им почти беспрепятственный доступ к остальным системам компании.

В понедельник Uber заявил, что хакер, который был связан с Lapsus$, группой, которая ранее в этом году взломала Okta, Microsoft, Nvidia, Globant и Rockstar Games, взломал учетную запись пользователя подрядчика Uber. В Uber заявили, что ненадолго отключили некоторые внутренние инструменты после взлома и что работа службы поддержки клиентов была «минимально затронута и теперь вернулась к нормальному режиму работы».

Последний инцидент после смерти Uber может быть неизвестен в течение некоторого времени, но эксперты по безопасности уже анализируют, как хакер получил доступ к системам Uber, с очевидной легкостью преодолев систему безопасности MFA компании.

Не все параметры MFA — этот дополнительный шаг, который вы должны выполнить после ввода имени пользователя и пароля, чтобы убедиться, что вы действительно входите в систему, а не злоумышленник, — одинаковы; некоторые сильнее других. Коды, отправляемые в текстовых сообщениях, которые можно перехватить или украсть, в значительной степени уступили место мобильным приложениям для аутентификации, которые выдают постоянно меняющиеся случайные коды или рассылают push-уведомления, которые практически невозможно перехватить. Но по мере того, как атаки становятся все умнее, некоторые из самых надежных средств защиты MFA терпят поражение, используя уязвимости в человеческом поведении.

Если таким образом можно взломать одну из крупнейших компаний мира, как защититься от еще одного взлома Uber?

Как хакеру удалось победить MFA?

По мнению исследователей, полномочия сотрудника может быть украли путем кражи паролей вредоносных программ, таких как RedLine, установленных на компьютере сотрудника. Также известно, что Lapsus$ использует Redline для кражи паролей сотрудников. Uber заявил, что хакер мог купить украденные пароли на торговой площадке в даркнете.

После кражи хакер должен был обойти многофакторную аутентификацию Uber, что создает дополнительный барьер, не позволяющий злоумышленникам использовать украденные учетные данные для проникновения в сеть компании.

В из разговора размещенный в Твиттере, хакер подтвердил, что они с помощью социальной инженерии проникли в сеть Uber, используя украденные учетные данные для отправки повторяющихся push-уведомлений сотруднику в течение более часа, а затем «связались с ним в WhatsApp и заявили, что он из ИТ-отдела Uber. он хочет, чтобы это прекратилось, он должен принять это», — сказал хакер. «И хорошо, он принял, и я добавил свое устройство», — написал хакер.

Это то, что некоторые называют усталостью MFA, когда хакеры пользуются тем, что сотрудникам приходится неоднократно входить в систему и повторно аутентифицировать свой доступ в течение рабочего дня, заваливая сотрудника push-уведомлениями, часто в нерабочее время, в надежде, что в конечном итоге сотрудник примет запрос на вход из-за раздражения.

Рэйчел Тобак, эксперт в области социальной инженерии и генеральный директор SocialProof Security, сказала, что атаки усталости MFA — это один из «самых простых способов» обойти MFA и взломать организацию.

«Да, иногда усталость от MFA выглядит как повторение запросов, пока жертва спит, пока они не примут их, но часто это так же просто, как отправить запрос 10 раз подряд в начале рабочего дня или просто возмутительно спамить запросы во время встречи, пока жертва принимает», — сказал Тобак TechCrunch.

После того, как хакер обманом заставил сотрудника принять push-уведомление, он мог отправить push-уведомление MFA, как если бы он был сотрудником, предоставив ему постоянный доступ к сети Uber.

Что исправить?

Эксперты по безопасности сходятся во мнении, что любой уровень MFA лучше, чем ничего, но MFA сам по себе не является панацеей. Uber — не единственная компания, которая использовала многофакторную аутентификацию, но ее сеть все еще скомпрометирована.

В 2020 году хакеры взломали сеть Twitter, обманом заставив сотрудника ввести свои учетные данные на созданную им фишинговую страницу, которую хакеры использовали для создания push-уведомления, отправляемого на устройства сотрудника. Согласно расследованию, проведенному правительством штата Нью-Йорк, сотрудник принял приглашение, позволив нападавшим войти. Совсем недавно гигант обмена SMS-сообщениями Twilio был скомпрометирован с помощью аналогичной фишинговой атаки, а Mailchimp также был взломан с помощью атаки социальной инженерии, которая обманом заставила сотрудника передать свои учетные данные.

Все эти атаки используют слабые места в многофакторной аутентификации, часто напрямую нацеливая на вовлеченных лиц, а не на поиск недостатков безопасности в этих тщательно проверенных системах.

Cloudflare — единственная компания, ставшая жертвой недавней волны кибератак, которая заблокировала компрометацию сети, поскольку использует аппаратные ключи безопасности, которые невозможно подделать. В сообщении в блоге Cloudflare признал, что, хотя некоторые сотрудники «попали на фишинговые сообщения», использование аппаратных ключей безопасности, которые требуют от сотрудников физического подключения USB-устройства к своим компьютерам после ввода своих учетных данных, помешало злоумышленникам взломать в свою сеть Cloudflare заявила, что атака была нацелена на сотрудников и системы таким образом, «что мы полагаем, что большинство организаций могут быть взломаны».

Ключи безопасности считаются золотым стандартом безопасности MFA, но у них есть свои проблемы, не в последнюю очередь связанные со стоимостью ключей и их обслуживанием. «Мы тратим время на споры о необходимости аппаратных ключей безопасности для всех, но на местах некоторые организации все еще борются за обязательную двухфакторную аутентификацию по SMS или подсказки MFA для внутреннего доступа», — сказал Тобак.

Хотя MFA с помощью случайно сгенерированного кода или push-уведомлений ни в коем случае не идеальны, о чем свидетельствует взлом Uber, «мы не можем позволить совершенству стать врагом хорошего», — говорит Тобак. «Небольшие улучшения с течением времени имеют большое значение».

«Самые большие вопросы, которые я получаю от организаций прямо сейчас, касаются того, как настроить уже существующие инструменты MFA, чтобы ограничить методы атак, которые мы наблюдаем во взломах Uber, Twilio и Twitter», — сказал Тобак. «Это очень помогает организациям продумывать небольшие улучшения, которые можно сделать быстро, чтобы они не застревали в обсуждении обновлений в течение месяцев (или даже лет) внутри компании».

Одним из важных улучшений, получивших широкое распространение, является сопоставление номеров MFA, которое значительно усложняет атаки социальной инженерии, отображая код на экране человека, который входит в систему и должен вводить этот код в приложение на проверенном устройстве человека. Идея состоит в том, что злоумышленнику потребуются как учетные данные цели, так и ее проверенное устройство, аналогичное ключу безопасности.

Microsoft, Okta и Duo предлагают сопоставление номеров MFA. Но как отмечает исследователь безопасности Кевин Бомонт, решение Microsoft все еще находится в стадии предварительного просмотра, а предложение Okta по сопоставлению номеров связано с дорогостоящим уровнем лицензирования. Uber полагается на Duo для MFA, но как сообщается, не использовал номер, совпадающий на момент его нарушения.

«В других новостях вы видите группу подростков, заново изобретающих индустрию кибербезопасности в режиме реального времени», — написал Бомонт в Твиттере.

По словам Тобака, сетевые защитники также могут настраивать предупреждения и ограничивать количество push-уведомлений, которые может получать пользователь. отмечено в ветке Twitter — и начните с развертывания ключей безопасности для тестовой группы пользователей с целью увеличения группы каждый квартал.

Со своей стороны, Uber заявил в понедельник, что усиливает свою политику MFA в ответ на ее нарушение.

Что касается того, как хакер получил доступ к учетным данным с высоким уровнем привилегий для остальных своих критически важных систем, используя только украденный пароль подрядчика, у Uber еще есть за что ответить.

Leave a Comment

Your email address will not be published.

Shopping Cart