Über wurde gehackt und Junge sieht es aus Schlecht. Der Hacker, der diese Woche per Telegram mit seinen Leistungen prahlte, behauptet, ein 18-Jähriger zu sein, der angeblich so liberalen Zugang zum Netzwerk des Technologiegiganten erlangte, dass er die Uber-Belegschaft lockern und ein Bild eines Schwanzes posten konnte die internen Websites des Unternehmens.
Uber hat noch nicht viel über sein Sicherheitsdebakel gesagt, abgesehen von Donnerstag, als es passierte zugelassen dass es einen „Cybersicherheitsvorfall“ gab. Am Freitag veröffentlichte das Unternehmen auch eine kurzes Update in dem sie behaupteten, es gebe „keine Beweise dafür, dass der Vorfall den Zugriff auf sensible Benutzerdaten beinhaltete“.
Online-Sicherheitsforscher haben die Episode schnell analysiert und analysiert, welche taktischen Fehler zu dem Verstoß geführt haben könnten, basierend auf den Informationen, die der Täter durchsickern ließ. Zugegeben, alles, was der Hacker an dieser Stelle gesagt hat, ist nur angeblich und es ist nicht ganz klar, ob sie die Wahrheit sagen oder nicht. Gizmodo hat sich jedoch an mehrere Experten gewandt, um sich nach dem Hack zu erkundigen und ihre Perspektiven einzuholen, wie das Ganze passiert sein könnte.
Wie der Hacker behauptet, Uber verletzt zu haben
Wie viele kürzliche Einbrüche In große Unternehmensnetzwerke scheint der Hack von Uber mit ziemlich einfachen Hacking-Techniken durchgeführt worden zu sein. Wenn sich herausstellt, dass der Täter ein Teenager ist, würde das bedeuten, dass eines der größten Technologieunternehmen der Welt gerade von jemandem gehackt wurde, der wahrscheinlich nicht als mehr als qualifiziert ist ein Drehbuch-Kiddie.
Der Hacker hat allen gerne erzählt, wie sie in das Netzwerk von Uber gelangt sind. In Aussagen, die auf einer Telegrammseite gepostet wurden und in Gespräche gegenüber der New York Times sagte der mutmaßliche Hacker, er habe einen Uber-Mitarbeiter dazu verleitet, seine Zugangsdaten durch einen Social-Engineering-Angriff herauszugeben, der ihn als einen Kollegen erscheinen ließ. Dave Masson, Director of Enterprise Security bei der Sicherheitsfirma Darktrace, sagte gegenüber Gizmodo, dass dies keine besonders ausgeklügelte Angriffsmethode sei.
„Basierend auf dem, was der Hacker gesagt hat, haben sie sich nicht wirklich ‚eingehackt’“, sagte Masson. „Sie haben im Grunde jemanden dazu gebracht, die Multi-Faktor-Authentifizierungsdetails preiszugeben, und sind dann durch die Haustür gegangen.“ Diese Art von Angriffen war schon immer üblich, aber sie haben immer häufiger zugenommen, seit die Pandemie die meisten Unternehmen in einen semipermanenten Work-from-Home-Status versetzt hat, sagte Masson.
Der Angriff scheint es dem Hacker ermöglicht zu haben, Zugriff auf das VPN des Benutzers zu erhalten, das den Zugriff auf das Unternehmensnetzwerk von Uber ermöglichte. Von dort entdeckte der Hacker angeblich ein Dokument oder eine „interne Zugriffsfreigabe“, die Anmeldeinformationen für andere Dienste und Bereiche des Netzwerks enthielt. Danach wäre es relativ einfach gewesen, Privilegien in die breitere Umgebung des Unternehmens auszuweiten.
EIN Fehler in MFA
Wir haben lange gehört, dass der sicherste Weg, unser digitales Leben zu schützen, die Verwendung von Multifaktor ist Authentifizierung. MFA authentifiziert Benutzer, indem es sie zwingt, mehrere Informationen (normalerweise von mindestens zwei verschiedenen Geräten) bereitzustellen, um sich bei ihren Online-Konten anzumelden. Einige Formen von MFA haben jedoch auch eine selten diskutierte Schwachstelle, nämlich dass sie es sein können leicht ausmanövriert durch einen Hacker, der Social Engineering oder Basic einsetzt Der Mann in der Mitte-Stil-Angriffe, um Anmeldeinformationen zu erhalten.
Bill Demirkapi, ein unabhängiger Sicherheitsforscher, sagte gegenüber Gizmodo, dass die Art von MFA, die Uber anscheinend verwendet hat, nicht die sicherste Art ist. Stattdessen schlägt Demirkapi die Verwendung von vor FIDO2, das sich selbst als „Phishing-resistente“ Form der Authentifizierung bezeichnet. FIDO2 ist ein Web-Authentifizierungsmechanismus, der im Gegensatz zu anderen Standardformen von MFA überprüft, ob der Ursprung der MFA-Eingabeaufforderung vom echten Anmeldeserver stammt, sagte Demirkapi. „Wenn ein Angreifer eine gefälschte Anmeldeseite erstellt und nach FIDO MFA gefragt hat, hat das U2F-Gerät nicht einmal geantwortet, wodurch die Authentifizierung nicht fortgesetzt werden konnte“, fügte er hinzu.
„Standardformen der Multi-Faktor-Authentifizierung wie Push-Benachrichtigungen, SMS, OTP [one-time-password]usw. schützen zwar vor Angreifern, die nur die Zugangsdaten eines Mitarbeiters haben, aber oft nicht vor Phishing“, sagte er.
Problematischerweise kann das Phishing eines Benutzers von Standard-MFA mit allgemein zugänglichen Web-Tools ziemlich einfach durchgeführt werden. Demirkapi bezieht sich auf ein solches Tool namens „bösegynx“, die kostenlos online abgerufen werden kann. Ein Angreifer kann ein solches Tool verwenden, um eine gefälschte Anmeldeseite zu erstellen, die mit der echten identisch aussieht. Wenn sie ein Opfer davon überzeugen, die Phishing-Seite zu besuchen, kann der Server des Angreifers „eine Verbindung zum echten Login-Server replizieren“, sodass alles, was das Opfer eingibt, einfach an den Angreifer weitergeleitet wird.
„Ein Opfer kann seine Anmeldeinformationen eingeben, der Angreifer protokolliert sie und dann sendet der Angreifer die Anmeldeanfrage an den echten Server“, sagte Demirkapi. „Sobald das Opfer nach „Standard-MFA“ gefragt wird, findet keine Überprüfung statt, um sicherzustellen, dass sich das Opfer tatsächlich auf der echten Anmeldeseite befindet. Das Opfer akzeptiert die Aufforderung, der echte Server sendet die authentifizierten Cookies für das Opfer an den Server des Angreifers, und der Angreifer protokolliert und leitet dies an das Opfer weiter. Es ist ein nahtloser Prozess, der es dem Angreifer ermöglicht, die Anmeldeinformationen des Opfers zu erfassen, selbst mit gängigen Formen der Multi-Faktor-Authentifizierung“, sagte er.
Sind Benutzerdaten sicher?
Eine anhaltende Frage zu diesem Vorfall ist, ob möglicherweise Benutzerdaten betroffen waren. Am Freitag veröffentlichte Uber ein Statement Darin wurde behauptet, es gebe „keine Beweise“ dafür, dass der Hacker auf „sensible Benutzerdaten (wie den Reiseverlauf)“ zugegriffen habe. Das Unternehmen hat jedoch nicht genau viel Kontext dafür bereitgestellt, was das bedeutet. Sicherheitsexperten, die mit Gizmodo gesprochen haben, sagten, dass dies (angesichts des breiten Zugriffs, den der Hacker anscheinend erlangt hat) sicherlich der Fall war möglich dass sie Benutzerdaten eingesehen haben könnten.
“Ist es möglich? Sicher“, sagte Demirkapi. „Tatsächlich scheinen einige Screenshots, die der Angreifer durchsickern ließ, einen eingeschränkten Zugriff auf Kundeninformationen zu zeigen. Das allein sagt jedoch nicht viel aus, denn was wirklich zählt, ist das Ausmaß, in dem sich der Angreifer Zugang zu Kundendaten verschafft hat.“ Dieses Ausmaß ist offensichtlich unbekannt.
Masson stimmte ebenfalls zu, dass es möglich sei. „Das wissen wir noch nicht, aber ich wäre nicht überrascht, wenn sich das herausstellen würde“, sagte er und wies auf den Hack im Jahr 2016 hin, der das Unternehmen betraf. In diesem speziellen Fall war die Wirkung ziemlich schlimm. Hacker stahlen die persönlichen Daten von rund 57 Millionen Uber-Nutzer. Das Unternehmen hat den Vorfall nicht offengelegt und die Cyberkriminellen heimlich dafür bezahlt, die Daten zu löschen.
Im Moment könnte die relevantere Frage für Uber lauten, welche Art von Schmutz der Hacker auf dem der Mitfahrgelegenheiten gefunden hat Geschäftspraktiken und ob sie überhaupt wüssten, wonach sie suchen müssen.