histats

Comment arrêter un autre piratage d’Uber ?

Comment arrêter un autre piratage d’Uber ?

Ride saluant le géant Uber affirme que ses services sont opérationnels à la suite d’un “incident de cybersécurité” la semaine dernière qui a vu un pirate informatique s’introduire dans le réseau de l’entreprise et accéder à des systèmes qui stockent de grandes quantités de données clients.

Uber a peu parlé de l’incident jusqu’à lundi. Captures d’écran de l’intérieur du réseau d’Uber publié sur Twitter des chercheurs en sécurité en conversation avec le pirate informatique a montré l’accès aux tableaux de bord internes, au Slack de l’entreprise et à ses comptes HackerOne. Uber a déclaré dans sa mise à jour de lundi que le pirate avait volé des informations internes et des messages Slack, mais qu’aucune information sensible – telle que les données de carte de crédit et l’historique des trajets – n’avait été prise, laissant ouverte la question de savoir si d’autres informations personnelles de l’utilisateur avaient été compromises.

Le pirate, qui prétend être âgé de 18 ans, a déclaré aux chercheurs en sécurité qu’il avait pénétré par effraction dans les systèmes d’Uber en volant le mot de passe d’un employé et en incitant l’employé à accepter la notification push de l’attaquant pour l’authentification multifacteur d’Uber, ou MFA.

Une fois qu’ils ont pris pied sur le réseau d’Uber, le pirate a affirmé avoir trouvé un partage réseau contenant des informations d’identification à privilèges élevés qui leur a permis un accès presque illimité aux autres systèmes de l’entreprise.

Uber a déclaré lundi que le pirate informatique, qui était affilié à Lapsus$, un groupe qui a piraté Okta, Microsoft, Nvidia, Globant et Rockstar Games plus tôt cette année, avait compromis le compte d’utilisateur d’un sous-traitant d’Uber. Uber a déclaré qu’il avait brièvement supprimé certains outils internes après la violation et que les opérations de support client avaient “un impact minime et sont maintenant revenues à la normale”.

Le dernier incident post-mortem d’Uber n’est peut-être pas connu avant un certain temps, mais les experts en sécurité analysent déjà comment le pirate a eu accès aux systèmes d’Uber pour commencer – en battant la sécurité MFA de l’entreprise avec une apparente facilité.

Toutes les options MFA – l’étape supplémentaire que vous devez effectuer après avoir entré votre nom d’utilisateur et votre mot de passe pour vérifier que c’est bien vous qui vous connectez et non un attaquant – ne sont pas égales ; certains sont plus forts que d’autres. Les codes envoyés par SMS, qui peuvent être interceptés ou volés, ont été largement supprimés au profit d’applications d’authentification mobiles qui génèrent des codes aléatoires en rotation constante ou envoient des notifications push presque impossibles à intercepter. Mais à mesure que les attaques deviennent plus intelligentes, certaines des protections MFA les plus solides sont vaincues en exploitant les vulnérabilités du comportement humain.

See also  Le jeune de 18 ans prétend être à l'origine de la brèche

Si l’une des plus grandes entreprises du monde peut être violée de cette manière, comment vous protéger contre un autre piratage d’Uber ?

Comment le pirate a-t-il vaincu MFA ?

Selon les chercheurs, la pièce d’identité de l’employé peut avoir été volé en volant des logiciels malveillants comme RedLine installés sur l’ordinateur d’un employé. Lapsus$ est également connu pour utiliser Redline pour voler les mots de passe des employés. Uber a déclaré que le pirate informatique avait peut-être acheté les mots de passe volés sur une place de marché sur le dark web.

Après avoir été volé, le pirate a dû vaincre l’authentification multifacteur d’Uber, qui ajoute une barrière supplémentaire pour empêcher les attaquants d’utiliser des informations d’identification volées pour pénétrer dans le réseau d’une entreprise.

DANS Une conversation posté sur Twitter, le pirate a confirmé qu’il avait évolué socialement vers le réseau d’Uber en utilisant les informations d’identification volées pour envoyer des notifications push répétées à l’employé pendant plus d’une heure, puis “l’a contacté sur WhatsApp prétendant être d’Uber IT, lui a dit s’il le voulait pour arrêter, il doit l’accepter”, a déclaré le pirate informatique. “Et bien, il a accepté et j’ai ajouté mon appareil”, a écrit le pirate.

C’est ce que certains appellent la fatigue MFA, où les pirates profitent du fait que les employés doivent se connecter à plusieurs reprises et authentifier leur accès tout au long de la journée de travail en inondant les employés de notifications push, souvent en dehors des heures de travail, dans l’espoir que l’employé finira par accepter une connexion. demande par agacement.

Rachel Tobac, experte en ingénierie sociale et PDG de SocialProof Security, a déclaré que les attaques de fatigue MFA sont l’un des “moyens les plus simples” de contourner la MFA pour pirater une organisation.

“Oui, parfois la fatigue MFA ressemble à des demandes répétées pendant que la victime dort jusqu’à ce qu’elle accepte, mais souvent c’est aussi simple que d’envoyer la demande 10 fois de suite au début de la journée de travail ou simplement de spammer odieusement des demandes lors d’une réunion jusqu’à ce que la victime accepte, a déclaré Tobac à TechCrunch.

Après avoir amené l’employé à accepter la notification push, le pirate a pu envoyer des notifications push MFA comme s’il était un employé, lui donnant un accès permanent au réseau d’Uber.

See also  Uber piraté : 3 leçons de sécurité importantes à apprendre

Quelle est la solution?

Les experts en sécurité conviennent universellement que n’importe quel niveau de MFA vaut mieux que rien, mais MFA n’est pas une panacée en soi. Uber n’est pas la seule entreprise à avoir utilisé l’authentification multifacteur et dont le réseau est toujours compromis.

En 2020, des pirates ont fait irruption dans le réseau de Twitter en incitant un employé à entrer ses informations d’identification sur une page de phishing qu’ils avaient configurée, que les pirates ont utilisée pour générer une notification push envoyée aux appareils de l’employé. L’employé a accepté un appel qui a laissé entrer les agresseurs, selon une enquête du gouvernement de l’État de New York. Récemment, le géant de la messagerie SMS Twilio a été compromis par une attaque de phishing similaire, et Mailchimp a également été piraté par une attaque d’ingénierie sociale qui a amené un employé à remettre ses informations d’identification.

Toutes ces attaques exploitent les faiblesses de l’authentification multifactorielle, souvent en ciblant directement les individus impliqués, plutôt que de rechercher des failles de sécurité dans ces systèmes hautement audités.

Cloudflare est la seule entreprise ciblée dans une récente vague de cyberattaques qui a bloqué une compromission du réseau car elle utilise des clés de sécurité matérielles, qui ne peuvent pas être hameçonnées. Dans un article de blog, Cloudflare a admis que même si certains employés “sont tombés dans les messages de phishing”, il a mis fin à l’utilisation de clés de sécurité matérielles, qui obligent les employés à brancher physiquement un périphérique USB sur leur ordinateur après avoir saisi leurs informations d’identification, et a empêché les attaquants de pénétrer dans leur réseau. Cloudflare a déclaré que l’attaque visait les employés et les systèmes de telle manière “que nous pensons que la plupart des organisations sont susceptibles d’être piratées”.

Les clés de sécurité sont considérées comme l’étalon-or pour la sécurité MFA, mais elles ne sont pas sans leurs propres défis, notamment le coût des clés et leur maintenance. “Nous passons notre temps à discuter de la nécessité de clés de sécurité matérielles pour tout le monde, mais sur le terrain, certaines organisations se battent toujours pour l’authentification obligatoire à deux facteurs par SMS ou la demande MFA d’accès interne”, a déclaré Tobac.

Alors que la MFA par code généré aléatoirement ou par notification push n’est en aucun cas parfaite, comme en témoigne la violation d’Uber, “nous ne pouvons pas laisser la perfection être l’ennemi du bien”, déclare Tobac. “De petites améliorations au fil du temps font une grande différence.”

See also  Should social media users engage in a tug of war with hackers?

“Les plus grandes questions que je reçois actuellement des organisations concernent la configuration des outils MFA préexistants pour limiter les méthodes d’attaque que nous voyons dans les hacks Uber, Twilio et Twitter”, a déclaré Tobac. “Il y a beaucoup à faire pour aider les organisations à réfléchir à de petites améliorations qui peuvent être apportées rapidement, afin qu’elles ne soient pas coincées à discuter des mises à jour pendant des mois (voire des années) en interne.”

Une amélioration clé dans les rondes est la correspondance des numéros MFA, qui rend les attaques d’ingénierie sociale beaucoup plus difficiles en montrant un code à l’écran à la personne qui se connecte et en devant entrer ce code dans une application sur l’appareil vérifié de la personne. L’idée est que l’attaquant aura besoin à la fois des informations d’identification de la cible et de son appareil vérifié, similaire à celui d’une clé de sécurité.

Microsoft, Okta et Duo proposent une correspondance des numéros MFA. Mais comme l’a noté le chercheur en sécurité Kevin Beaumont, la solution de Microsoft est toujours en préversion et l’offre de correspondance de numéros d’Okta est regroupée dans un niveau de licence coûteux. Uber s’appuie sur Duo pour MFA, cependant apparemment pas utilisé correspondant au numéro au moment de la violation.

“Dans d’autres nouvelles, vous voyez un groupe d’adolescents réinventer l’industrie de la cybersécurité en temps réel”, a tweeté Beaumont.

Les défenseurs du réseau peuvent également configurer des alertes et des limites sur le nombre de notifications push qu’un utilisateur peut recevoir, a déclaré Tobac – et noté dans un fil Twitter – et commencez à déployer des clés de sécurité pour un groupe test d’utilisateurs dans le but d’élargir le groupe chaque trimestre.

De son côté, Uber a déclaré lundi qu’il renforçait sa politique étrangère en réponse à la violation.

Quant à la façon dont le pirate a obtenu l’accès aux informations d’identification à privilèges élevés pour le reste de ses systèmes critiques en utilisant le mot de passe volé d’un seul entrepreneur, Uber peut encore avoir beaucoup à répondre.

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *