El mundo de la seguridad digital ha estado en el punto de mira por varios motivos en el último año. Varios incidentes de alto perfil han impactado directamente al público en general, desde ataques cibernéticos hasta escándalos de privacidad.
Uber es la última compañía en verse atrapada en este torbellino después de que los piratas informáticos lograron violar su seguridad y robar datos confidenciales de los usuarios del servicio de transporte compartido.
Este artículo proporciona una descripción general de lo que sucedió, lo que salió mal y lo que puede hacer para mantener sus cuentas seguras.
¿Qué causó la brecha en la seguridad?
El 15 de septiembre, Uber anunció la noticia de la violación de su sistema. A través de la ingeniería social, el pirata informático comprometió la cuenta de Slack de un empleado.
Durante este ataque, el pirata informático persuadió al empleado para que le entregara una contraseña crítica que les permitía acceder a los sistemas de Uber.
Las capturas de pantalla que el pirata informático compartió con los investigadores de seguridad sugieren que esta persona obtuvo acceso completo a los sistemas basados en la nube donde Uber almacena información financiera y de clientes confidencial.
Se dice que uno de los empleados de la compañía (que deseaba permanecer en el anonimato) tenía una imagen de trabajo insegura publicada por el hacker.
Algunos puntos dignos de mención incluyen los siguientes:
- En primer lugar, no controlaron correctamente los intentos de inicio de sesión. Uber no recibe notificaciones si un tercero intenta iniciar sesión en una cuenta comercial pero no puede ingresar a la red. Estos intentos fallidos de ingreso no activan las redes del sistema de seguridad de Uber, lo que muestra un aparente retraso en el sistema.
- En segundo lugar, Uber no pudo restringir los datos disponibles a aplicaciones de terceros. Esta fácil disponibilidad permite a los piratas informáticos acceder a información confidencial de otras aplicaciones de terceros vinculadas.
- En tercer lugar, existe la posibilidad de que este ataque haya sido el resultado de un phishing. En el phishing, los piratas informáticos se hacen pasar por una persona o entidad confiable para obtener acceso a información confidencial. Esta infracción es notable ya que ha habido múltiples infracciones en la historia de Uber. Estas infracciones múltiples son inusuales, ya que la mayoría de las infracciones solo ocurren una o dos veces.
¿Cómo se violó la seguridad de Uber?
Según el informe del Instituto Ponemon de 2022, los ataques internos aumentaron en un 47 %lo que da como resultado credenciales de usuario comprometidas.
El hacker intentó diseñar socialmente a los trabajadores de Uber, lo que resultó en el acceso a una VPN y a la red interna de la empresa.
Presuntamente, Un hacker de 18 años es el responsable de robar datos de Uber. Sin embargo, la semana pasada, Uber compartió más detalles sobre el ataque, que en particular fijó la afiliación del actor de amenazas al notorio grupo de piratería LAPSUS$.
La vulnerabilidad del sistema de Uber salió a la luz cuando se comprometieron las credenciales de administrador de su plataforma nativa Privileged Access Management (PAM).
Privileged Access Management es una colección de herramientas y tecnologías que protege, restringe y monitorea el acceso de los empleados a los datos y recursos vitales de una empresa.
Una vez que un pirata informático ingresa a la red, obtiene acceso a los scripts de PowerShell, que incluyen la información de inicio de sesión de la cuenta del administrador del dominio en un formulario codificado.
Durante la reciente filtración, el secuestrador obtuvo acceso administrativo completo a las cuentas de AWS, vSphere Domain, Duo, G Suite, OneLogin, VMware y otras cuentas de la empresa. Incluso obtuvieron el código fuente de Uber; Se proporcionaron capturas de pantalla como evidencia.
Dado que no hubo notas de rescate o extorsión, los investigadores creen que el pirata informático realizó el ataque de ingeniería solo por emociones baratas.
Los parámetros predefinidos en un script de PowerShell son una debilidad significativa que le da al atacante un acceso tan extenso. Estas credenciales de inicio de sesión otorgaron acceso de administrador a Thycotic, un sistema PAM.
Esta herramienta conlleva muchos privilegios para los usuarios de la empresa. Contiene claves de usuario final para el acceso del personal a recursos internos y programas de terceros.
Además, incluye información de DevOps que se usa comúnmente durante el desarrollo de software, lo que lo convierte en un único punto de falla.
El sistema PAM gestiona el acceso a varios sistemas. Como resultado, el atacante tuvo acceso completo a todos los sistemas centrales de Uber.
¿Quién fue afectado?
Aunque los piratas informáticos solo obtuvieron acceso a cierta información de los usuarios de Uber, lograron violar su seguridad. La brecha significa que los piratas informáticos encontraron una manera de infiltrarse en su sistema e ingresar a otras cuentas.
Es posible que los piratas informáticos también obtuvieran acceso a información confidencial de otras aplicaciones que rastrean a los usuarios. Por lo tanto, es probable que los piratas accedan a información como direcciones, direcciones de correo electrónico y números de licencia (aunque todavía no hay pruebas que lo demuestren).
Dicha información podría incluir el acceso injustificado a las cuentas bancarias de los usuarios mientras reciben beneficios del Seguro Social a nombre de otra persona e incluso conducir automóviles sin ser detectados.
Algunas personas han cuestionado la respuesta de Uber a la violación de datos a la luz de cómo no habían revelado previamente la violación de 2016 que les costó $ 148 millones en sanciones legales.
Además, también se informó que la compañía no notificó de inmediato a todos los afectados por la infracción, lo cual es inusual. Es posible que algunas personas no se hayan dado cuenta de que su información ha sido violada.
Relacionado:
Como Saber Si Tu Telefono Es Resistente Al Agua
