El jueves por la noche se descubrió una violación de la infraestructura informática interna de Uber, pero desde entonces la compañía ha dicho que "no hay evidencia" de que los datos personales de los usuarios hayan estado expuestos.
La compañía declaró: "No tenemos evidencia de que el problema involucre el acceso a detalles confidenciales del consumidor (como el historial diario). Juntos, Uber, Uber Eats, Uber Freight y la aplicación Uber Driver conforman todos nuestros servicios, y son todos funcionando a partir de ahora.
La compañía de redes de transporte agregó que ha restaurado todo el software y hardware interno que había cerrado previamente como medida de precaución y que ha informado a las fuerzas del orden.
La cantidad de tiempo que el intruso pasó una vez dentro de la red de Uber y si se robó o no más información se desconoce en este momento.
Más allá de que están en curso una investigación y actividades de respuesta, Uber no ha proporcionado otros detalles sobre la progresión del incidente. Bill Demirkapi, un investigador de seguridad independiente, calificó el enfoque de "sin evidencia" de Uber como "incompleto".
"sin evidencia" podría significar que el atacante sí tuvo acceso, pero Uber no ha encontrado evidencia de que usaron ese acceso para obtener datos "confidenciales" de los clientes. "También es inusual revelar abiertamente detalles personales "sensibles" al público en lugar de los datos más comunes de los consumidores.
Un hacker de 18 años fue presuntamente responsable de la violación porque diseñó socialmente a un empleado vulnerable de Uber para que aceptara un aviso de autenticación multifactor (MFA) que permitía al atacante registrar su propio dispositivo.
Después de ganar algo de tracción, el atacante encontró un recurso compartido de la comunidad con credenciales de administrador privilegiadas para los scripts de PowerShell, lo que les dio acceso completo a otros sistemas críticos como AWS, Google Cloud Platform, OneLogin, el portal de respuesta a incidentes de SentinelOne y Slack.
Es preocupante que el investigador de seguridad Sam Curry haya publicado afirmaciones de que el joven hacker tuvo acceso a evaluaciones de vulnerabilidades que se habían informado a Uber a través de HackerOne como parte del programa de recompensas por errores de la empresa.
Desde entonces, HackerOne ha tomado medidas para deshabilitar la cuenta de Uber, pero la empresa con sede en San Francisco aún enfrenta una importante preocupación de seguridad por la posible decisión del pirata informático de vender la información a otros actores de riesgo para obtener una ganancia rápida.
Si bien se desconocen los objetivos precisos del atacante, el hacker que se atribuyó la responsabilidad de la intrusión en una publicación de Slack pidió más compensación para los conductores de Uber.
El atacante irrumpió en las redes de Uber por diversión, según un informe separado de The Washington Post, que también calificó la seguridad de Uber como "terrible" y dijo que el pirata informático podría liberar el código de suministro de la empresa en cuestión de meses.
"Muchas veces simplemente hablamos de APT, como estados extranjeros, y pasamos por alto los diversos actores de riesgo que incluyen trabajadores descontentos, personas internas y, como en este caso, hacktivistas", dijo Ismael Valenzuela Espejo, vicepresidente de evaluación de riesgos e innovación de BlackBerry. .
"Las organizaciones deben incorporar estos en sus ejercicios de modelado de riesgos para determinar quién además tendría el deseo de atacar a la organización, su nivel de habilidad y capacidades, y cuál debería ser el impacto en función de ese análisis".
El ataque de Uber, junto con la reciente serie de ataques que afectaron a Twilio, Cloudflare, Cisco y LastPass, muestra que la ingeniería social sigue siendo un punto sensible para las empresas.
Además, demuestra que la autenticación basada en contraseña es un punto débil en la seguridad de la cuenta, ya que todo lo que se necesita para que ocurra una infracción es que un empleado revele sus credenciales de inicio de sesión.
La seguridad de la compañía es tan confiable como su personal más vulnerable, dijo la cofundadora y presidenta de Elevate Security, Masha Sedova, en un comunicado.
“Necesitamos mirar más allá de las normas de capacitación; en su lugar, combinemos a nuestros empleados más peligrosos con medidas de protección menos convencionales. Nunca podremos ganar la guerra contra el ciberdelito mientras lo tratemos como un problema puramente técnico”, dijo Sedova.
Estos sucesos demuestran la insuficiencia de los códigos de contraseña de un solo uso basados en el tiempo (TOTP), que a menudo son producidos por aplicaciones de autenticación o enviados a través de mensajes SMS, para proteger los puntos de control 2FA.
Evitar la necesidad de contraseñas en favor de un dispositivo de hardware externo que realice la autenticación con claves de seguridad físicas compatibles con FIDO2 es un método para lidiar con este tipo de riesgos.
Demirkapi recomendó que las empresas implementen "los operadores de MFA deberían *por defecto* bloquear robóticamente las facturas rápidamente cuando se envían demasiados avisos en un corto período de tiempo" para limitar el acceso privilegiado.
Entradas
.jpeg)
.jpeg)
No hay comentarios.:
Publicar un comentario