histats

Le jeu Blame suit le piratage d’Uber. Les experts ne blâment pas l’employé.

Le jeu Blame suit le piratage d’Uber.  Les experts ne blâment pas l’employé.

Écrit par AJ Vicens

À la suite du piratage d’Uber, prétendument par un jeune de 18 ans qui affirmait qu’il condamnait l’entreprise pour une sécurité laxiste, la conversation dans les cercles d’infosec s’est rapidement tournée vers la façon dont il aurait pu être si facile de compromettre l’un des plus des entreprises technologiques de valeur.

Le pirate informatique présumé n’a pas répondu à une demande de commentaire vendredi, mais a déclaré au New York Times jeudi soir qu’il avait socialement conçu un employé d’Uber pour accéder aux systèmes de l’entreprise. Captures d’écran partagées sur Twitter et d’autres plates-formes ont semblé démontrer l’accès étendu obtenu par l’attaquant, y compris aux comptes d’Uber avec Amazon Web Services, Google Suite et HackerOne.

L’attaquant a déclaré Corben Leo, chercheur et développeurqu’ils ont eu accès à un outil de gestion des accès privilégiés qui, lorsqu’on leur a demandé, a révélé leurs informations d’identification pour la gamme de services.

La facilité relative, selon un certain nombre d’experts partageant des opinions initiales en ligne, montre qu’il s’agit d’un problème structurel du système, et non d’un problème au niveau de l’employé individuel.

Le tweet de Coldwater a reçu près de 1 000 retweets et près de 4 500 likes en quelques heures, tandis que d’autres partageaient des sentiments similaires.

Bill Demirkapi, chercheur et ingénieur en sécurité chez Microsoft, souligné sur Twitter que “l’ampleur de l’attaque démontre un autre problème avec la centralisation de l’authentification”, qui est que “il peut souvent s’agir d’un point de défaillance unique qui peut donner aux attaquants un large éventail d’accès, comme nous l’avons vu dans cet exemple”.

See also  Contrecoup après que Mark Spencer ait suggéré qu'un "homme en Chine" pourrait pirater un téléphone

Si les détails sont exacts sur comment l’attaquant a obtenu l’accèsd’abord en spammant les employés avec des demandes d’authentification multi-facteurs basées sur le push, Demirkapi ajouté, alors ce n’est pas seulement un problème Uber. “Les pratiques qui ont conduit à leur compromission sont scandaleusement courantes”, a-t-il tweeté. “La MFA vulnérable est utilisée partout, > 60 % des sites ne prennent même pas en charge les jetons matériels.”

Des méthodes d’attaque similaires ont été utilisées dans les récentes violations de Twilio, Okta et environ 130 autres entreprises, selon Group-IB, et les experts disent que c’est une tactique à la hausse.

“Pourquoi constatons-nous une augmentation du phishing par SMS ? Parce que cela fonctionne, est de plus en plus bien documenté par les attaquants et est maintenant considéré comme facilitant le développement d’attaques pour voler des mots de passe et des codes MFA », a tweeté Rachel TobacPDG de SocialProof Security.

Des organisations de toutes sortes sont touchées par ces types d’attaques, a déclaré vendredi à CyberScoop Sam Rubin, vice-président d’Unit 42 Consulting chez Palo Alto Networks. Sans commenter spécifiquement les pratiques d’Uber, Rubin a déclaré que même si ces attaques ne sont ni complexes ni sophistiquées, “elles s’avèrent toujours très efficaces”.

En fin de compte, “il s’agit d’éduquer les employés pour qu’ils soient conscients de ces tactiques que les criminels utilisent pour accéder aux organisations”, a-t-il déclaré. “Ils utilisent aussi souvent l’urgence et la fatigue des utilisateurs pour inciter les gens à cliquer sur ces liens. Si vous ne savez pas si votre service informatique ou votre service d’assistance a vraiment envoyé un SMS, contactez-le directement pour confirmer.”

See also  Backbone présente un nouveau contrôleur de jeu mobile sur le thème PlayStation

En outre, les administrateurs pourraient resserrer les contrôles MFA pour réduire les risques, a-t-il déclaré, une suggestion que beaucoup d’autres ont faite vendredi.

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *