Perşembe akşamı, araç paylaşım devi Uber onaylanmış “bir siber güvenlik olayına” yanıt verdiğini ve ihlalle ilgili olarak kolluk kuvvetleriyle iletişime geçtiğini söyledi. 18 yaşındaki bir bilgisayar korsanı olduğunu iddia eden bir kuruluş, saldırının sorumluluğunu üstlendi ve birden fazla güvenlik araştırmacısına şirketi ihlal etmek için attıkları adımlar hakkında övündü. saldırgan bildirildiğine göre Perşembe gecesi Uber’s Slack’teki bir kanalda, “Merhaba @burada bir bilgisayar korsanı olduğumu ve Uber’in bir veri ihlaline maruz kaldığını duyurdum” yazdı. Slack gönderisi ayrıca, bilgisayar korsanının ihlal ettiğini iddia ettiği bir dizi Uber veritabanını ve bulut hizmetini de listeledi. Mesajın “uberunderpaisdrives” imzasıyla sona erdiği bildirildi.
Şirket, Perşembe akşamı Slack ve diğer bazı dahili hizmetlere erişimi geçici olarak durdurdu. New York Times, bu ilk ihlali bildirdi. Cuma günkü bir gün ortası güncellemesinde şirket, “dün önlem olarak kaldırdığımız dahili yazılım araçlarının tekrar çevrimiçi hale geldiğini” söyledi. Uber ayrıca Cuma günü yaptığı açıklamada, “olayın hassas kullanıcı verilerine (seyahat geçmişi gibi) erişim içerdiğine dair hiçbir kanıtı olmadığını” söyledi. Saldırgan tarafından sızdırılan ekran görüntüleri, Uber’in sistemlerinin derinden ve tamamen ele geçirilmiş olabileceğini ve saldırganın erişemediği her şeyin sınırlı fırsattan ziyade sınırlı zamanın sonucu olabileceğini gösteriyor.
Saldırgan güvenlik mühendisi Cedric Owens, bilgisayar korsanının şirketi ihlal etmek için kullandığını iddia ettiği kimlik avı ve sosyal mühendislik taktikleri hakkında “Bu cesaret kırıcı ve bu yaklaşımın işe yarayacağı tek şirket kesinlikle Uber değil” diyor. “Bu hack’te şu ana kadar bahsedilen teknikler, ben de dahil olmak üzere birçok kırmızı takımın geçmişte kullandığı tekniklere oldukça benziyor. Dolayısıyla ne yazık ki bu tür ihlaller artık beni şaşırtmıyor.”
WIRED tarafından yorum için ulaşılamayan saldırgan, iddialar Şirket sistemlerine ilk olarak bireysel bir çalışanı hedefleyerek ve onlara sürekli olarak çok faktörlü kimlik doğrulama oturum açma bildirimleri göndererek eriştiklerini söylediler. Saldırgan, bir saatten fazla bir süre sonra, Uber BT çalışanı gibi davranarak ve hedef girişi onayladıktan sonra MFA bildirimlerinin duracağını söyleyerek WhatsApp’ta aynı hedefle iletişim kurduklarını iddia ediyor.
Bazen “MFA yorgunluğu” veya “tükenme” saldırıları olarak da bilinen bu tür saldırılar, hesap sahiplerinin, rastgele oluşturulmuş bir veri girişi sağlamak gibi başka araçlar yerine cihazlarındaki bir anında iletme bildirimi yoluyla bir oturum açmayı onaylaması gereken kimlik doğrulama sistemlerinden yararlanır. kod. MFA istemi kimlik avları giderek daha fazla hale geldi saldırganlar arasında popüler. Ve genel olarak, bilgisayar korsanları, daha fazla şirket dağıttıkça iki faktörlü kimlik doğrulama etrafında çalışmak için giderek artan bir şekilde kimlik avı saldırıları geliştirdi. Örneğin, son Twilio ihlali, çok faktörlü kimlik doğrulama hizmetleri sağlayan bir şirketin güvenliğinin ihlal edilmesinin sonuçlarının ne kadar korkunç olabileceğini gösterdi. Oturum açma işlemleri için fiziksel kimlik doğrulama anahtarlarına ihtiyaç duyan kuruluşlar, kendilerini bu tür uzaktan sosyal mühendislik saldırılarına karşı savunmada başarılı oldular.
“Sıfır güven” ifadesi, güvenlik endüstrisinde bazen anlamsız bir terim haline geldi, ancak Uber ihlali en azından sıfır güvenin ne olmadığına dair bir örnek gösteriyor gibi görünüyor. Saldırganın şirket içinde ilk erişimi olduğunda, iddia Microsoft’un otomasyon ve yönetim programı PowerShell için komut dosyalarını içeren ağda paylaşılan kaynaklara erişebildiler. Saldırganlar, komut dosyalarından birinin erişim yönetim sistemi Thycotic’in yönetici hesabı için sabit kodlanmış kimlik bilgileri içerdiğini söyledi. Saldırgan, bu hesabın kontrolü ile Amazon Web Hizmetleri, Google’ın GSuite, VMware’in vSphere panosu, kimlik doğrulama yöneticisi Duo ve kritik kimlik ve erişim yönetimi hizmeti OneLogin dahil olmak üzere Uber’in bulut altyapısı için erişim belirteçleri elde edebildiğini iddia etti.