inoticia

El servicio de transporte compartido Uber dijo el viernes que todos sus servicios estaban operativos luego de lo que los profesionales de seguridad llaman una violación importante de datos, alegando que no había evidencia de que el pirata informático tuviera acceso a datos confidenciales del usuario.

Pero la violación, aparentemente por parte de un hacker solitario, puso de relieve una rutina de intrusión cada vez más efectiva que involucra ingeniería social: el hacker aparentemente obtuvo acceso haciéndose pasar por un colega, engañando a un empleado de Uber para que entregara sus credenciales.

Luego pudieron ubicar contraseñas en la red que les otorgaron el nivel de acceso privilegiado reservado para administradores de sistemas.

El daño potencial fue grave: las capturas de pantalla que el pirata informático compartió con los investigadores de seguridad indican que obtuvieron acceso completo a los sistemas basados ​​en la nube donde Uber almacena datos confidenciales de clientes y financieros.

No se sabe cuántos datos robó el hacker ni cuánto tiempo estuvo dentro de la red de Uber. Dos investigadores que se comunicaron directamente con la persona, que uno de ellos se identificó como un joven de 18 años, dijeron que parecían interesados ​​en la publicidad. No había indicios de que destruyeran los datos.

Pero los archivos compartidos con los investigadores y publicados ampliamente en Twitter y otras redes sociales indicaron que el pirata informático pudo acceder a los sistemas internos más importantes de Uber.

“Era realmente malo el acceso que tenía. Es horrible”, dijo Corben Leo, uno de los investigadores que conversó con el hacker en línea.

La reacción en línea de la comunidad de ciberseguridad (Uber también sufrió una grave violación en 2016) fue dura.

El hackeo “no fue sofisticado ni complicado y claramente dependía de múltiples grandes fallas de ingeniería y cultura de seguridad sistémica”. tuiteó Lesley Carhart, director de respuesta a incidentes de Dragos Inc., que se especializa en sistemas de control industrial.

Leo dijo que las capturas de pantalla que compartió el pirata informático mostraron que el intruso obtuvo acceso a los sistemas almacenados en los servidores basados ​​en la nube de Amazon y Google donde Uber guarda el código fuente, los datos financieros y los datos de los clientes, como las licencias de conducir.

“Si tuviera las llaves del reino, podría comenzar a detener los servicios. Podía borrar cosas. Podía descargar datos de clientes, cambiar las contraseñas de las personas”, dijo Leo, investigador y jefe de desarrollo comercial de la empresa de seguridad Zellic.

Las capturas de pantalla que compartió el pirata informático, muchas de las cuales se encontraron en línea, mostraron datos financieros confidenciales y bases de datos internas a las que se accedió. También circulando ampliamente en línea: El hacker que anunció la brecha el jueves en el sistema de colaboración interno Slack de Uber.

Leo, junto con Sam Curry, un ingeniero de Yuga Labs que también se comunicó con el pirata informático, dijeron que no había indicios de que el pirata informático hubiera causado algún daño o estuviera interesado en algo más que publicidad.

“Está bastante claro que es un hacker joven porque quiere lo que quiere el 99% de lo que quieren los hackers jóvenes, que es la fama”, dijo Leo.

Curry dijo que habló con varios empleados de Uber el jueves que dijeron que estaban “trabajando para bloquear todo internamente” para restringir el acceso del hacker. Eso incluía la red Slack de la compañía de San Francisco, dijo.

En un comunicado publicado en línea el viernes, Uber dijo que “las herramientas de software internas que eliminamos ayer como precaución están volviendo a estar en línea”.

Dijo que todos sus servicios, incluidos Uber Eats y Uber Freight, estaban operativos y que había notificado a las autoridades. El FBI dijo por correo electrónico que está “al tanto del incidente cibernético que involucra a Uber, y nuestra asistencia a la empresa continúa”.

Uber dijo que no había evidencia de que el intruso haya accedido a “datos confidenciales del usuario”, como el historial de viajes, pero no respondió a las preguntas de The Associated Press, incluso sobre si los datos estaban almacenados encriptados.

Curry y Leo dijeron que el hacker no indicó cuántos datos se copiaron. Uber no recomendó ninguna acción específica para sus usuarios, como cambiar contraseñas.

El pirata informático alertó a los investigadores sobre la intrusión el jueves mediante el uso de una cuenta interna de Uber en la red de la empresa. utilizado para publicar vulnerabilidades identificadas a través de su programa bug-bounty, que paga a los piratas informáticos éticos para descubrir las debilidades de la red.

Después de comentar esas publicaciones, el pirata informático proporcionó una dirección de cuenta de Telegram. Curry y otros investigadores luego los entablaron una conversación por separado, donde el intruso proporcionó las capturas de pantalla como prueba.

La AP intentó contactar al hacker en la cuenta de Telegram, pero no recibió respuesta.

Las capturas de pantalla publicadas en línea parecían confirmar lo que los investigadores dijeron que el pirata informático afirmó: que obtuvieron acceso privilegiado a los sistemas más críticos de Uber a través de la ingeniería social.

El escenario aparente:

El hacker primero obtuvo la contraseña de un empleado de Uber, probablemente a través de phishing. Luego, el pirata informático bombardeó al empleado con notificaciones automáticas pidiéndole que confirmara un inicio de sesión remoto en su cuenta. Cuando el empleado no respondió, el hacker se comunicó a través de WhatsApp, haciéndose pasar por un compañero de trabajo del departamento de TI y expresando urgencia. Finalmente, el empleado cedió y confirmó con un clic del mouse.

La ingeniería social es una estrategia de piratería popular, ya que los humanos tienden a ser el eslabón más débil de cualquier red. Los adolescentes lo usaron en 2020 para hackear Twitter y más recientemente se ha usado en hackeos de las empresas tecnológicas Twilio y Cloudflare, dijo Rachel Tobac, directora ejecutiva de SocialProof Security, que se especializa en capacitar a los trabajadores para que no sean víctimas de la ingeniería social.

“La dura verdad es que la mayoría de las organizaciones en el mundo podrían ser pirateadas exactamente de la misma manera que Uber fue pirateado”, tuiteó Tobac. En una entrevista, dijo que “incluso las personas súper expertas en tecnología se enamoran de los métodos de ingeniería social todos los días”.

“Los atacantes están mejorando en eludir o secuestrar MFA (autenticación de múltiples factores)”, dijo Ryan Sherstobitoff, analista senior de amenazas en SecurityScorecard.

Es por eso que muchos profesionales de la seguridad abogan por el uso de las llamadas claves de seguridad físicas FIDO para la autenticación de usuarios. Sin embargo, la adopción de dicho hardware ha sido irregular entre las empresas de tecnología.

El ataque también destacó la necesidad de monitoreo en tiempo real en sistemas basados ​​en la nube para detectar mejor a los intrusos, dijo Tom Kellermann de Contrast Security. “Se debe prestar mucha más atención a la protección de las nubes desde adentro” porque una sola llave maestra normalmente puede abrir todas sus puertas.

Algunos expertos cuestionaron cuánto ha mejorado la ciberseguridad en Uber desde que fue pirateado en 2016.

Su ex director de seguridad, Joseph Sullivan, se encuentra actualmente en juicio por supuestamente arreglar el pago de 100.000 dólares a los piratas informáticos para encubrir ese atraco de alta tecnología, cuando se robó la información personal de unos 57 millones de clientes y conductores.

___

Esta historia se actualizó para corregir la ortografía del apellido del experto en Contrast Security. Es Kellermann, no Kellerman

___

Esta historia se publicó por primera vez el 16 de septiembre de 2022. Se actualizó el 17 de septiembre de 2022 para corregir la ortografía del nombre de pila de un investigador. El nombre es Corben Leo, no Corbin.