Uber ha sido hackeado y chico se ve malo. El pirata informático, que se jactó de sus logros a través de Telegram esta semana, afirma ser un joven de 18 años que supuestamente obtuvo un acceso tan liberal a la red del gigante tecnológico que pudo aflojar la fuerza laboral de Uber y publicar una foto de un pene en los sitios web internos de la empresa.
Uber no ha dicho mucho sobre su debacle de seguridad todavía, aparte del jueves cuando aceptado que estaba experimentando un “incidente de ciberseguridad”. El viernes, la compañía también publicó un breve actualización en el que afirmaron que “no había pruebas de que el incidente implicara el acceso a datos sensibles de los usuarios”.
Los investigadores de seguridad en línea se apresuraron a analizar el episodio, analizando qué errores tácticos pueden haber llevado a la violación, según la información filtrada por el culpable. Concedido, todo lo que ha dicho el hacker en este punto es sólo presunto
Cómo el hacker afirma haber violado Uber
como muchos intrusiones recientes en grandes redes corporativas, el hackeo de Uber parece haberse logrado utilizando técnicas de hackeo bastante básicas. De hecho, si el culpable resulta ser un adolescente, significaría que una de las compañías tecnológicas más grandes del planeta fue pirateada por alguien que probablemente no califique como más que un guion para niños.
G/O Media puede recibir una comisión
Ahorre $ 250
Samsung Galaxy Book2 Pro 360 de 15″
Velocidad de vanguardia
Empuje los límites de lo que es posible con una experiencia informática como ninguna otra: Galaxy Book2 Pro 360 funciona con nuestro procesador más potente disponible. Traducción: Tiempos de respuesta súper rápidos. Gráficos asombrosos. Extraordinarias capacidades multitarea. Velocidad de descarga ultrarrápida. Todo impulsado por la última CPU con certificación Evo de 12.ª generación que hace que cada tarea sea una experiencia verdaderamente gratificante.
El hacker ha estado feliz de contarles a todos cómo se metió en la red de Uber. En declaraciones publicadas en una página de Telegram y en conversaciones
“Según lo que dijo el hacker, en realidad no ‘piratearon’ para entrar”, dijo Masson. “Básicamente engañaron a alguien para que diera los detalles de autenticación de múltiples factores y luego entraron por la puerta principal”. Este tipo de ataques siempre han sido comunes, pero se han vuelto cada vez más frecuentes desde que la pandemia puso a la mayoría de las empresas en un estado de trabajo desde casa semipermanente, dijo Masson.
El ataque parece haber permitido que el pirata informático obtuviera acceso a la VPN del usuario, que proporcionó acceso a la red corporativa de Uber. A partir de ahí, el hacker supuestamente descubrió un documento, o “recurso compartido de acceso interno”, que incluía credenciales de inicio de sesión para otros servicios y áreas de la red. Después de eso, escalar los privilegios al entorno más amplio de la empresa habría sido relativamente fácil.
Una falla en MFA
Durante mucho tiempo, hemos escuchado que la forma más segura de mantener segura nuestra vida digital es usar multifactor autenticación. MFA autentica a los usuarios obligándolos a presentar múltiples datos (generalmente de al menos dos dispositivos diferentes) para iniciar sesión en sus cuentas en línea. Aún asíme formas de MFA también tienen una vulnerabilidad discutida con poca frecuencia, que es que pueden ser maniobrar fácilmente por un hacker que emplea ingeniería social o Hombre en el medio-ataques de estilo para obtener credenciales de inicio de sesión.
Bill Demirkapi, una seguridad independiente investigador, le dijo a Gizmodo que el tipo de MFA que Uber parece haber usado no es el tipo más seguro. En cambio, Demirkapi sugiere el uso de FIDO2, que se anuncia a sí mismo como una forma de autenticación “resistente al phishing”. FIDO2 es un mecanismo de autenticación web que, a diferencia de las formas más estándar de MFA, verifica que el origen de la solicitud de MFA proviene del servidor de inicio de sesión real, dijo Demirkapi. “Si un atacante creara una página de inicio de sesión falsa y solicitara FIDO MFA, el dispositivo U2F ni siquiera respondería, lo que impediría que continuara la autenticación”, agregó.
“Formas estándar de autenticación multifactor, como notificaciones automáticas, mensajes de texto, OTP [one-time-password]etc. protegen contra atacantes que solo tienen las credenciales de un empleado, pero a menudo no contra el phishing”, dijo.
Problemáticamente, el phishing a un usuario de MFA estándar se puede lograr con bastante facilidad utilizando herramientas web ampliamente accesibles. Demirkapi se refiere a una de esas herramientas, llamada “evpor mucho tiemponx”, al que se puede acceder de forma gratuita en línea. Un atacante puede usar una herramienta como esta para crear una página de inicio de sesión falsa que se vea idéntica a la real. Si convencen a una víctima para que visite la página de phishing, el servidor del atacante puede “replicar una conexión al servidor de inicio de sesión real” para que todo lo que ingrese la víctima simplemente se transmita al atacante.
“Una víctima puede ingresar sus credenciales, el atacante lo registra y luego el atacante envía la solicitud de inicio de sesión al servidor real”, dijo Demirkapi. “Una vez que se le solicita a la víctima el “MFA estándar”, no se realiza ninguna verificación para asegurarse de que la víctima esté realmente en la página de inicio de sesión real. La víctima acepta el aviso, el servidor real envía las cookies autenticadas para la víctima al servidor del atacante, y el atacante registra y transmite esto a la víctima. Es un proceso continuo que le permite al atacante capturar las credenciales de la víctima, incluso con formas comunes de autenticación de múltiples factores”, dijo.
¿Están seguros los datos del usuario?
Una pregunta persistente sobre este incidente es si los datos del usuario pueden haberse visto afectados. El viernes, Uber lanzó una declaración que alegaba que “no había evidencia” de que el pirata informático hubiera accedido a “datos confidenciales del usuario (como el historial de viajes)”. Sin embargo, la compañía no ha proporcionado exactamente mucho contexto de lo que eso significa. Los expertos en seguridad que hablaron con Gizmodo dijeron que (dado el amplio acceso que parece haber adquirido el hacker) ciertamente era posible que podrían haber visto los datos del usuario.
“¿Es posible? Claro”, dijo Demirkapi. “De hecho, algunas capturas de pantalla que el atacante filtró parecen mostrar un acceso limitado a la información del cliente. Sin embargo, esto por sí solo no significa mucho, porque lo que realmente importa es la medida en que el atacante obtuvo acceso a la información del cliente”. Ese alcance, obviamente, se desconoce.
Masson también estuvo de acuerdo en que era posible. “Eso aún no lo sabemos, pero no me sorprendería si ese fuera el caso”, dijo, señalando el hackeo de 2016 que afectó a la empresa. En ese caso particular, el impacto fue bastante malo. Los piratas informáticos robaron la información personal de unos 57 millones de usuarios de Uber. La empresa no reveló el incidente y pagó en secreto a los ciberdelincuentes para que borraran los datos.
Por ahora, la pregunta más pertinente para Uber puede ser qué tipo de suciedad encontró el hacker en el sitio web de la compañía de viajes compartidos. prácticas de negocios y si sabrían qué buscar.