Université de Boston : Utilisateurs d’Uber : ce que vous devez savoir sur la violation de données du mois dernier ; Expert en cybercriminalité MET sur la manière dont le pirate informatique a probablement eu accès aux données et aux systèmes de l’entreprise

Université de Boston: Uber Utilisateurs : ce que vous devez savoir sur la violation de données du mois dernier.

Le mois dernier, les bases de données internes de la multinationale américaine de covoiturage Uber a été piraté. C’est ce qu’a dit le jeune de 18 ans qui a revendiqué la responsabilité du piratage. Uberses mesures de sécurité inefficaces ont rendu la violation possible. Le pirate informatique, qui a finalement été arrêté et placé en garde à vue, aurait eu accès à Uber‘s sécurisent les données grâce à « l’ingénierie sociale », ce qui signifie manipuler ou tromper quelqu’un, souvent avec des e-mails ou des appels téléphoniques, pour accéder à des informations personnelles ou financières. Ces méthodes de manipulation deviennent monnaie courante dans le monde de la cybercriminalité. Se faisant passer pour un employé des technologies de l’information d’entreprise, le pirate a affirmé avoir convaincu un Uber entrepreneur de divulguer le mot de passe à Uberleurs systèmes. Uber dit qu’il est également possible que le pirate ait acheté le mot de passe de l’entreprise sur le dark web.

En accord Uberaprès avoir obtenu le mot de passe de l’entrepreneur, le pirate a envoyé des demandes de connexion répétées au compte de l’entrepreneur et a ensuite pu contourner Uberl’authentification de connexion à deux facteurs de – un système dans lequel un utilisateur obtient l’accès après avoir vérifié électroniquement son identité à deux reprises – lorsque l’entrepreneur a finalement accepté l’authentification. Le pirate a également été hospitalisé Uber compte Slack et a posté un message qui disait : “J’annonce que je suis un hacker et Uber a subi une violation de données.’

Une mise à jour de sécurité de Uber disent croire que le groupe de cybercriminalité Lapsus$ est responsable de l’attaque. “Nous travaillons avec plusieurs cabinets d’enquête numériques de premier plan dans le cadre de l’enquête”, Uber écrivez. “Nous profiterons également de cette occasion pour continuer à renforcer nos politiques, nos pratiques et notre technologie afin de protéger davantage Uber contre de futures attaques.

BU Today s’est entretenu avec Kyung-shick Choi (MET’02), un Collège métropolitain professeur de pratique et directeur de leurs programmes Cybercrime Investigation & Cybersecurity, sur les implications du piratage et sur la manière dont les entreprises et les utilisateurs peuvent se protéger.

Cette interview a été modifiée pour plus de longueur et de clarté.

Q&R AVEC KYUNG-SHICK CHOI

BU aujourd’hui : pouvez-vous décrire brièvement la portée de Uberviolation de la sécurité?

Choi : UberLa faille de sécurité est assez intéressante car contrairement à d’autres failles majeures, je me demande si le pirate a réalisé ce qu’il voulait vraiment réaliser. Je m’attendais à une sorte d’attaque de rançon afin qu’ils puissent rechercher un gain financier. Mais cette fois, il semble qu’ils n’ont pas vraiment obtenu grand-chose. Bien sûr, peut-être UberLa cybersécurité a réagi rapidement à l’incident, mais ils ont clairement dit qu’ils avaient piraté Slack. Et donc pour moi, il y a beaucoup plus de motivation possible.

Ils ont déjà identifié le suspect potentiel, Lapsus$. C’est un groupe de hackers brésiliens – je suppose que c’est un groupe d’adolescents. Nous les appelons les “cyberpunks”. Ils ont été très actifs ces derniers temps et ont acquis une renommée. Je pense que c’est peut-être la raison pour laquelle ils ont ciblé une si grande entreprise.

Pouvez-vous parler de leurs méthodes, comment ils ont pu y accéder ?

En accord Uber, le groupe de pirates a acheté le mot de passe de connexion sur le dark web. Il est très courant que les pirates échangent, vendent et achètent d’anciens mots de passe et noms de connexion. Considérez donc que s’ils sont des cyberpunks et qu’ils ne sont pas extrêmement qualifiés, le simple fait d’obtenir les informations d’identification via le dark web est le moyen le plus simple de commettre un crime, plutôt qu’un processus de piratage compliqué. Alors peut-être que c’est ce qui se passe dans ce cas.

À présent, Uber dispose d’un système d’authentification à deux facteurs, ce qui signifie une double protection. Avec l’authentification à deux facteurs, vous recevez cette notification et vous devez appuyer sur les boutons. Alors peut-être [an Uber worker] pensé, d’accord, je l’ai fait, puis ils l’ont approuvé. Il y a donc un moyen, et c’est de la pure chance pour être honnête, si [the hackers] l’a fait de cette façon.

Une autre façon, s’ils sont vraiment des hackers dévoués, [is to] aller plus loin dans le système. Et puis ils [would] augmentez le privilège et modifiez les informations pour remplacer le contact par le leur. Il doit s’agir d’un téléphone graveur afin que vous puissiez obtenir votre propre authentification à l’aide du graveur. C’est ce que font les hackers assez habiles, mais ça y ressemble [Uber hackers were] pas à ce niveau. C’est mon hypothèse. Mais généralement, les cyberpunks essaient et essaient et, heureusement, peuvent entrer.

Quelles sont les conséquences potentielles pour les utilisateurs et leurs données suite au piratage ?

Les données personnelles sont si importantes. Les données de chaque personne peuvent être transformées en armes et utilisées contre elles. Vos données peuvent être utilisées à des fins criminelles, pour une prise de contrôle de compte ou un gain financier. Et puis, bien sûr, [hackers] peut vendre les informations. Et c’est pourquoi la vie privée est si importante, car nous devons vraiment nous protéger.

Je peux étendre cela aux crimes sexuels. Et donc si les pirates découvrent la date de naissance, le lieu et tout ça, ils peuvent traquer les gens et même commettre des sextorsions. J’ai beaucoup vu ces cas.

Les gens pensent, oh, ce n’est qu’un hack. Mais ce n’est pas qu’un hack. Les dommages peuvent être importants pour les individus, les familles et la société dans son ensemble. Par conséquent, nous devons être très prudents.

Quelles données sont censées être compromises par l’attaque ?

Les pirates ont téléchargé des informations financières à partir de Slack. Les informations financières peuvent être n’importe quoi. Il peut s’agir de factures ou d’informations sur l’emploi. Je pense que oui [Uber and the authorities] étudie actuellement cela et quels types d’informations ont été compromises. Selon eux, des données non sensibles ont été exposées, mais nous ne le saurons pas tant que nous n’aurons pas vu ce qui s’est réellement passé. Les informations de carte de crédit sont cryptées afin que les informations soient sécurisées et que les autres informations de voyage soient sécurisées.

Je pense juste après l’événement [Uber] l’a signalé à la police et maintenant FBI est impliqué. je pense [Uber] fait la bonne chose, donc une fois FBI s’implique et ils font une enquête très approfondie, nous obtiendrons des informations beaucoup plus précises.

Penses-tu Uber a bien géré la situation ?

Je n’ai pas vu les preuves. Si je l’examinais, je pourrais peut-être voir le fichier journal et quand ils ont été vraiment piratés. Dans la plupart des incidents de piratage, en particulier à grande échelle, les entreprises ne signalent pas immédiatement la victime. J’espère Uber l’a signalé tout de suite. Au moins, le suspect et le groupe de pirates ont laissé un message, mais nous ne savons pas quand ils ont réellement commencé. Et donc peut-être qu’ils ont passé beaucoup de temps, peut-être un mois, avant d’en arriver là.

Habituellement, les gros problèmes sont similaires parce que [hacked companies] ne veulent pas ruiner leur réputation de la part de l’entreprise. Ils ne veulent pas donner de mauvaises images au public. Qui utilisera Uber s’ils continuent à se faire pirater ?

Dans ce cas, [Uber] vu le signe du piratage et ils l’ont signalé à la police. Je pense que c’est la bonne façon de procéder. Et c’est peut-être pour cela que les dommages, selon Uber, sont minimes. Bien que nous ne le sachions pas encore.

Les autres applications de covoiturage sont-elles vulnérables à des attaques similaires ?

Bien sûr. En raison de la tendance des hackers, s’ils sont des hackers professionnels, ils n’attaqueront jamais le siège, car le siège a beaucoup de sécurité. Tous les gros piratages, si vous les examinez vraiment, ne se produisent pas vraiment en piratant directement le serveur principal. [Hackers] trouve toujours les petits fournisseurs. La taille de l’entreprise peut être très petite. Il y a là une vulnérabilité. C’est aussi la façon dont vous gérez les informations numériques, et c’est très important.

Mais certainement Lyft et tous les autres doivent faire attention. Cela signifie donc qu’ils doivent former leurs employés.

Quelles étapes faut-il Uber et d’autres applications de covoiturage pour empêcher des attaques similaires à l’avenir ?

J’ai ma propre théorie et ma théorie est devenue dominante dans le crime informatique. C’est ce qu’on appelle la “théorie de l’activité cyber-routinière”. Très simple. Deux facteurs contribuent à la victimisation de la criminalité informatique. Donc, soit le comportement en ligne, cela signifie une erreur humaine, et/ou c’est un problème de sécurité. Les e-mails professionnels compromis sont toujours la plus grande victime de la cybercriminalité dans l’histoire d’Internet ou du courrier électronique.

Un autre facteur est la cybersécurité. Que faire si vous n’avez pas de protection de base ? Que faire si vous n’avez pas la gestion de la sécurité interne ? Cela signifie, avez-vous une politique forte en place dans votre entreprise ? Si quelque chose arrive, la réponse à l’incident est si importante. Si vous n’avez pas de politique de réponse aux incidents… ils en ont. Il vous suffit d’attendre les forces de l’ordre et de regarder les pirates voler tout. Vous ne pouvez rien faire car vous ne savez pas quoi faire.

Il est également important de former les employés. C’est critique.

De nombreux [hacking] les cas, je dirais plus près de 50 %, proviennent d’un initié. C’est pourquoi vous devez conserver toutes les informations d’identification de sécurité, en particulier lorsque [employees] quitter l’entreprise. La vengeance est un facteur important. [If] non seulement ils roulent bien…[if] ils en font quelque chose, vendent peut-être les informations, partagent toutes les informations d’identification ou les vendent au dark web.

On pense que le pirate a potentiellement eu accès à Uberleurs systèmes internes par une tactique de manipulation psychologique appelée ingénierie sociale. Comment puis Uber et d’autres entreprises préparent-elles et forment-elles mieux leurs employés à identifier ces techniques de persuasion ?

La formation efficace doit être une formation pratique. Donc, statistiquement, la formation pratique augmente vraiment votre mémoire à long terme. Ce type d’entraînement est essentiel pour que vous le ressentiez lorsque vous cliquez dessus et que vous voyiez ce qui se passe. Nos programmes au MET sont conçus pour former nos futures forces de l’ordre aux enquêtes sur la cybercriminalité et à la cybersécurité. Nous créons un scénario. Nous avons donc un suspect et une victime. Les élèves le ressentent vraiment. Ils enquêtent sur l’affaire et voient comment [the hacker] envoyer un e-mail de phishing et ils observent vraiment.

De plus, la technologie évolue rapidement, presque tous les jours. Et donc notre comportement en ligne s’adapte rapidement. Les entreprises devraient penser à cela et à l’évolution de la technologie. Les entreprises doivent vraiment connaître leurs populations d’employés et les caractéristiques de l’utilisation des médias sociaux, par exemple.

Comment les utilisateurs peuvent-ils se protéger et protéger leurs données personnelles lorsqu’ils utilisent des applications de covoiturage ?

Chaque fois que vous entendez qu’un incident s’est produit, la première chose que vous devez faire est de changer vos mots de passe. Si vous voyez quelque chose se produire, comme un incident de piratage du côté de l’entreprise, je vous recommande fortement de changer votre mot de passe comme celui-ci [hackers] ne peut rien faire de plus.

Et bien sûr, n’utilisez jamais le mot de passe que vous avez utilisé auparavant. Si j’étais un Uber client, je voulais un mot de passe très fort. Et soyez prudent lorsque vous téléchargez des applications en vous assurant de télécharger des applications authentiques, car il existe de nombreuses applications répliquées.