[ad_1]
el jueves por la noche, El gigante Uber Aprobado que estaba respondiendo a «un incidente de seguridad cibernética» y contactando a la policía sobre la violación. Una empresa que afirmaba ser un hacker solitario de 18 años se atribuyó la responsabilidad del ataque y se jactó ante varios investigadores de seguridad sobre los pasos que tomaron para violar la seguridad de la empresa. el atacante presuntamente publicado en un canal en Slack de Uber el jueves por la noche: «Hola @aquí, estoy anunciando que soy un hacker y Uber ha sufrido una violación de datos». La publicación de Slack también enumeró una serie de bases de datos y servicios en la nube de Uber que supuestamente el pirata informático violó. Según los informes, el mensaje terminó con la cancelación de la suscripción de «uberunderpaisdrives».
En consecuencia, la empresa detuvo temporalmente el acceso a Slack y algunos otros servicios internos el jueves por la noche. Los New York Timesquien primero reportó la violación. En una actualización del mediodía del viernes, la compañía dijo que «las herramientas de software internas que cerramos ayer como medida de precaución volverán a estar en línea». Uber, invocando el lenguaje tradicional de notificación de brechas de seguridad, también dijo el viernes que «no había evidencia de que el incidente involucrara el acceso a datos confidenciales del usuario (como el historial de manejo)». Sin embargo, las capturas de pantalla filtradas por el atacante sugieren que los sistemas de Uber pueden haber sido comprometidos profunda y completamente y que cualquier cosa a la que el atacante no accedió fue el resultado de un tiempo limitado en lugar de una oportunidad limitada.
«Es desalentador, y Uber definitivamente no es la única empresa contra la que funcionaría este enfoque», dice Cedric Owens, un ingeniero de seguridad, de manera ofensiva sobre las tácticas de phishing e ingeniería social que supuestamente usó el pirata informático para ingresar a la empresa y penetrar. «Las técnicas mencionadas hasta ahora en este truco son bastante similares a las que muchos Red Teamers, incluyéndome a mí, hemos usado en el pasado. Entonces, lamentablemente, este tipo de violaciones ya no me sorprenden”.
El atacante, a quien WIRED no pudo contactar para hacer comentarios, Expectativas que inicialmente obtuvieron acceso a los sistemas corporativos dirigiéndose a un solo empleado y enviándoles repetidamente notificaciones de inicio de sesión mediante la autenticación de múltiples factores. Después de más de una hora, el atacante afirma haber contactado también al objetivo en WhatsApp, fingiendo ser un empleado de TI de Uber y diciendo que una vez que el objetivo aprobara el inicio de sesión, las notificaciones de MFA se detendrían.
Dichos ataques, a veces denominados ataques de «fatiga MFA» o «agotamiento», utilizan esquemas de autenticación que requieren que los titulares de cuentas simplemente aprueben un inicio de sesión a través de una notificación automática en su dispositivo, en lugar de otros medios como el correo electrónico. B. Proporcionar un código generado aleatoriamente. Los phishes rápidos de MFA son cada vez más comunes popular entre los atacantes. Y, en general, los piratas informáticos han desarrollado cada vez más ataques de phishing para eludir la autenticación de dos factores a medida que más y más empresas la adoptan. Por ejemplo, la reciente violación de Twilio ha demostrado cuán terribles pueden ser las consecuencias cuando una empresa que ofrece servicios de autenticación multifactor se ve comprometida. Las organizaciones que requieren claves de autenticación física para los inicios de sesión se han defendido con éxito contra estos ataques remotos de ingeniería social.
La frase «confianza cero» se ha convertido en una palabra de moda a veces sin sentido en la industria de la seguridad, pero la violación de Uber parece al menos mostrar un ejemplo de lo que no es la confianza cero. Una vez que el atacante tuvo acceso inicial a la empresa, pudo accion legal Pudieron acceder a recursos compartidos en la red que contenían scripts para el programa de administración y automatización PowerShell de Microsoft. Los atacantes dijeron que uno de los scripts contenía credenciales codificadas para una cuenta de administrador del sistema de administración de acceso Thycotic. Con el control de esta cuenta, el atacante afirmó que pudo obtener tokens de acceso para la infraestructura en la nube de Uber, incluidos los servicios web de Amazon, GSuite de Google, el panel de vSphere de VMware, el administrador de autenticación Duo y el servicio de administración de acceso e identidad crítica OneLogin.
[ad_2]