La semana pasada, un mal actor se abrió paso en los sistemas de Uber, pidiendo salarios más altos para los conductores de Uber en todo el país. El incidente de seguridad fue reconocido por Uber directamente el 15 de septiembre y resultó en que la compañía de viajes compartidos desconectara temporalmente algunos de sus sistemas internos mientras investigaba el problema.
Los sistemas de Uber ahora están nuevamente en línea, aunque el daño a la reputación de la compañía ya está hecho, lo que agrava el golpe del incidente de seguridad de Uber en 2016. De acuerdo a Los New York Timesel mal actor no era otro que un joven de 18 años que simplemente obtuvo acceso debido a la «débil seguridad» de la empresa, aunque después de sus propias investigaciones, Uber está vinculando el ataque a una red internacional de piratas informáticos conocida como Lapsus$.
Empleados según se informa se dieron cuenta del hackeo después de recibir un correo electrónico indicándoles que dejaran de usar Slack, la herramienta de mensajería interna de la empresa. Esta es la misma plataforma de mensajería en la que, según los informes, el mal actor dio a conocer su presencia al enviar un mensaje que decía: «Anuncio que soy un hacker y Uber ha sufrido una violación de datos», junto con un pedido de salarios más altos para los conductores. Los empleados son dijo haber pensado que alguien estaba jugando una broma y se burló del mal actor. Más tarde, informaron que cada vez que intentaban acceder a un sitio web, se les presentaba una página que mostraba una imagen pornográfica junto con las palabras «F*** you wankers».
En un comunicado emitido el viernes, Uber dijo que «no tenía evidencia» de que el malhechor obtuviera acceso a datos confidenciales de los usuarios. Más tarde aclaró el lunes que los atacantes no habían accedido a ningún sistema público o base de datos con datos confidenciales de los usuarios. Uber reconoció que los atacantes tenían acceso a varios de sus recursos de infraestructura central, algo de lo que el atacante compartió abiertamente imágenes con investigadores de seguridad la semana pasada.
“Prácticamente tienen acceso total a Uber”, dijo Sam Curry, ingeniero de seguridad de Yuga Labs. “Este es un compromiso total, por lo que parece”.
El actor de amenazas conversó con varios investigadores de seguridad sobre el tema, proporcionando capturas de pantalla y detalles sobre sus tácticas, técnicas y procedimientos (TTP) para la violación. Según el hacker, pudieron usar tácticas de ingeniería social para comprometer a un empleado y obtener sus credenciales a través de una técnica de bajo nivel llamada ingeniería social. Uber dice que la cuenta comprometida en realidad pertenecía a un proveedor externo y cree que la contraseña se extrajo de la web oscura y no se obtuvo a través de la ingeniería social como afirmó el atacante. La compañía dice que esta cuenta tenía habilitada la autenticación multifactor, pero el contratista aceptó una de las notificaciones automáticas de MFA y se le permitió iniciar sesión al atacante.
Después de obtener las credenciales, el atacante pudo obtener acceso a las redes internas de Uber a través de una conexión de red privada virtual, algo que muchas personas usan en el día a día después de que el teletrabajo se convirtió en algo normal durante Covid. El atacante dijo que luego pudo escanear las redes internas de Uber y encontrar múltiples interfaces de administración para explotar, junto con un recurso compartido de archivos interno que contenía scripts con credenciales codificadas para cuentas privilegiadas.
Uber participa en HackerOne, un programa de recompensas por errores, pero su cuenta está deshabilitada actualmente, probablemente porque fue comprometida por el mismo pirata informático. En un mensaje rociado en múltiples informes abiertos, un mal actor afirmó que había obtenido acceso a cuentas administrativas para el entorno de Windows Active Directory de Uber, Amazon Web Services, Google GSuite, así como su entorno VMWare vSphere donde se alojan las máquinas virtuales.
Capturas de pantalla adicionales compartidas con investigadores de seguridad respaldaron las afirmaciones del actor al mostrar que también habían obtenido acceso al tablero de SentinelOne, el proveedor de seguridad de punto final de la compañía, así como al datos financieros internos de la empresa.
Varios días después, salió a la luz otro hack con un modus operandi similar (utilizando credenciales comprometidas para acceder a una VPN y robando el código fuente). Rockstar Games, el estudio detrás de la serie Grand Theft Auto, experimentó una filtración importante de la próxima entrega del juego. El pirata informático publicó la filtración en foros en línea, alegando supuestamente que era la misma persona detrás de la violación de Uber. Se dijo que se utilizó un método de acceso similar: se violaron las credenciales de un empleado y se usaron para iniciar sesión en la instancia de Slack de la empresa.
Rockstar confirmó la violación el lunes por la mañana, pero no entró en detalles sobre el ataque ni anotó si se violaron datos de clientes.
Si bien ambos ataques son sustanciales, el hackeo de Uber es de particular importancia para discutir, especialmente porque el mal actor habló mucho sobre sus TTP en línea, muchos de los cuales se alinean con el grupo Lapsus$. En 2017, Uber despidió a su principal ejecutivo de seguridad, Joe Sullivan, luego de que la empresa manejara su incumplimiento el año anterior. Sin embargo, parece que todavía hay algunos problemas.
Desde una perspectiva de seguridad, parece haber una cantidad significativa de problemas en la infraestructura de Uber que el atacante hizo públicos. Para empezar, la falta de segmentación de la red supuestamente permitió que la cuenta violada escaneara todas las redes de administración de Uber desde una sola conexión VPN, o al menos pasar a otras áreas de la red donde esto era posible. Del mismo modo, según la respuesta del atacante, parecería que Uber podría no seguir los pasos básicos Principio de privilegio mínimo para el acceso a la cuenta, lo que significa que los empleados podrían tener más acceso del que deberían a recursos que no son esenciales para sus funciones laborales. Otro problema parece ser las credenciales de administrador codificadas que el atacante dice que encontró en scripts de texto sin formato alojados en recursos compartidos de red, lo que provocó que se violaran otras cuentas, según el atacante. Por último, pero quizás lo más importante, está la formación de los usuarios. Debido a que un solo usuario entregó sus credenciales o aceptó un aviso de MFA no válido, el mal actor pudo infiltrarse en el entorno de Uber y filtrar datos.
Uber dice que, a pesar del hackeo, pudo asegurarse de que sus sistemas no se vieran afectados en gran medida. La compañía dice que todavía usó esto como una oportunidad para restablecer las contraseñas de los empleados y rotar las claves que pueden haber estado expuestas para limitar el acceso y la persistencia que podría tener el atacante. Aparentemente, el atacante solo extrajo algunos mensajes de Slack e información de las herramientas financieras de Uber, lo que en sí mismo no se alinea con el comportamiento típico de Lapsus$, lo que significa que el atacante (o atacantes) pueden estar afiliados al grupo de alguna manera, aunque es posible que el truco no haya sido un esfuerzo coordinado para obtener ganancias financieras. Eso aún se desconoce y está siendo investigado por el FBI y el Departamento de Justicia de los Estados Unidos.
Con los vehículos cada vez más conectados que nunca y los servicios en línea dando vueltas en casi todos los aspectos de nuestras vidas, la violación de Uber es solo una de muchas que probablemente ocurran en los próximos años. Debería ser una lección de higiene cibernética no solo para las grandes empresas, sino también para la información que la gente común, tú y yo, compartimos en línea todos los días.
¿Tienes algún consejo o pregunta para el autor? Contáctelos directamente: [email protected]