木曜日の夕方、 ライドシェア大手Uber 確認済み 「サイバーセキュリティインシデント」に対応しており、侵害について法執行機関に連絡していた. 個人の 18 歳のハッカーであると主張するエンティティが攻撃の責任を負い、複数のセキュリティ研究者に会社への侵入に取った手順について自慢しました。 攻撃者 伝えられるところによると 木曜日の夜、Uber の Slack のチャンネルに、「こんにちは @here お知らせします、私はハッカーであり、Uber はデータ侵害を受けました」と投稿しました。 Slack の投稿には、ハッカーが侵害したと主張する多数の Uber データベースとクラウド サービスもリストされていました。 メッセージは、「uberunderpaisdrives」というサインオフで締めくくられたと伝えられています。
によると、同社は木曜日の夜、Slack やその他の内部サービスへのアクセスを一時的に停止しました。 ニューヨークタイムズ、 どれの 最初に報告された 違反。 で 正午の更新 金曜日に、同社は「昨日予防措置として停止した内部ソフトウェア ツールがオンラインに戻ってきた」と述べました。 また、Uber は金曜、「事件がユーザーの機密データ (旅行履歴など) へのアクセスに関係していたという証拠はない」と、昔ながらの侵害通知文言を引き合いに出して述べた。 しかし、攻撃者によってリークされたスクリーンショットは、Uber のシステムが深く完全に侵害された可能性があり、攻撃者がアクセスしなかったものはすべて、限られた機会ではなく限られた時間の結果であった可能性があることを示しています.
攻撃的なセキュリティ エンジニアの Cedric Owens 氏は、攻撃的なセキュリティ エンジニアである Cedric Owens 氏は、ハッカーが会社への侵入に使用したと主張するフィッシングおよびソーシャル エンジニアリングの戦術について、次のように述べています。 「これまでのところ、このハックで言及されているテクニックは、私を含む多くのレッドチームが過去に使用したものとかなり似ています. したがって、残念ながら、この種の侵害はもはや私を驚かせません。」
WIRED からコメントを得ることができなかった攻撃者は、 請求 彼らは最初に、個々の従業員をターゲットにして、多要素認証のログイン通知を繰り返し送信することで、会社のシステムへのアクセスを取得した. 攻撃者は、1 時間以上経過した後、同じターゲットに WhatsApp で連絡を取り、Uber の IT 担当者になりすまして、ターゲットがログインを承認すると MFA 通知が停止すると述べたと主張しています。
このような攻撃は、「MFA 疲労」または「枯渇」攻撃とも呼ばれ、認証システムを悪用します。このシステムでは、アカウント所有者は、ランダムに生成されたコード。 MFAプロンプトフィッシングがますます増加しています 攻撃者に人気. また、一般的に、2 要素認証を導入する企業が増えるにつれて、ハッカーは 2 要素認証を回避するためのフィッシング攻撃をますます開発しています。 たとえば、最近の Twilio の侵害は、多要素認証サービスを提供する企業自体が侵害された場合に、どれほど悲惨な結果を招くかを示しています。 ログインに物理認証キーを必要とする組織には、 成功した このようなリモート ソーシャル エンジニアリング攻撃から身を守るためです。
「ゼロ トラスト」というフレーズは、セキュリティ業界では意味のないバズワードになっていることがありますが、Uber の侵害は、少なくともゼロ トラストではない例を示しているようです。 攻撃者が社内に最初にアクセスできるようになると、 請求 Microsoft の自動化および管理プログラムである PowerShell のスクリプトを含む、ネットワーク上で共有されているリソースにアクセスできました。 攻撃者は、スクリプトの 1 つに、アクセス管理システム Thycotic の管理者アカウント用のハードコードされた資格情報が含まれていると述べました。 攻撃者は、このアカウントを制御することで、Amazon Web Services、Google の GSuite、VMware の vSphere ダッシュボード、認証マネージャー Duo、重要な ID およびアクセス管理サービス OneLogin を含む Uber のクラウド インフラストラクチャのアクセス トークンを取得できたと主張しました。