配車大手 Uber は、ハッカーが同社のネットワークに侵入し、膨大な量の顧客データを保存するシステムにアクセスした先週の「サイバーセキュリティ インシデント」の後、そのサービスが運用されていると述べています。
Uber は月曜日までこの事件についてほとんど何も言わなかった。 Uber のネットワーク内のスクリーンショット ツイッターに投稿 ハッカーとの会話におけるセキュリティ研究者による アクセスを示した 内部ダッシュボード、会社の Slack およびその HackerOne アカウントに。 ウーバーは言った その月曜日の更新 ハッカーは一部の内部情報と Slack メッセージを盗んだが、機密情報 (クレジット カード データや旅行履歴など) は盗まれていないため、他のユーザーの個人情報が侵害されたかどうかは未解決のままです。
18 歳であると主張するハッカーはセキュリティ研究者に、従業員のパスワードを盗み、従業員をだまして Uber の多要素認証 (MFA) に対する攻撃者のプッシュ通知を承認させることで、Uber のシステムに侵入したと語った。
Uber のネットワークに重要な足場を築くと、ハッカーは、次のような高特権の資格情報を含むネットワーク共有を見つけたと主張しました。 ほぼ自由にアクセスできるようにしました 会社の残りのシステムに。
Uber は月曜日に、今年初めに Okta、Microsoft、Nvidia、Globant、Rockstar Games をハッキングしたグループである Lapsus$ と提携していたハッカーが、Uber 請負業者のユーザー アカウントを侵害したと述べました。 Uber は、侵害を受けて一部の内部ツールを一時的に停止し、カスタマー サポート業務は「最小限の影響を受け、現在は通常に戻っている」と述べました。
Uber の最後の事件の事後分析は、しばらくの間知られていないかもしれませんが、セキュリティの専門家は、ハッカーが最初に Uber のシステムにアクセスした方法をすでに分析しています。
すべての MFA オプション (ユーザー名とパスワードを入力した後に、実際にログインしていて攻撃者ではないことを確認するために実行する必要がある追加の手順) が同等に作成されているわけではありません。 いくつかは他よりも強いです。 傍受または盗まれる可能性のあるテキスト メッセージで送信されたコードは、絶えず回転するランダム コードを大量に生成したり、傍受がほぼ不可能なプッシュ通知を送信したりするモバイル認証アプリを支持して、大部分が混乱しています。 しかし、攻撃が巧妙化するにつれて、最も強力な MFA 保護の一部が、人間の行動の脆弱性を悪用することによって破られています。
世界最大の企業の 1 つがこの方法で侵害された場合、別の Uber ハッキングからどのように保護しますか?
ハッカーはどのようにして MFA を打ち負かしましたか?
研究者によると、従業員の資格情報 盗まれたかもしれない 従業員のコンピュータにインストールされた RedLine のようなパスワードを盗むマルウェアによって。 Lapsus$ は でも知られている Redline を使用して従業員のパスワードを盗む。 Uber は、ハッカーが盗まれたパスワードをダークウェブのマーケットプレイスから購入した可能性があると述べました。
盗まれると、ハッカーは Uber の多要素認証を破る必要がありました。これにより、攻撃者が盗まれた資格情報を使用して企業のネットワークに侵入するのを防ぐための追加の障壁が追加されました。
の 会話 Twitter に投稿されたハッカーは、盗んだ資格情報を使用して従業員にプッシュ通知を 1 時間以上繰り返し送信することで、Uber のネットワークに侵入する方法をソーシャル エンジニアリングしたことを確認し、「WhatsApp で彼に連絡し、Uber IT の者であると主張しました。彼はそれをやめさせたいと思っており、それを受け入れなければなりません」とハッカーは言いました。 「そして、彼はそれを受け入れ、私は自分のデバイスを追加しました」とハッカーは書いています。
これを MFA 疲労と呼ぶ人もいます。ハッカーは、従業員が最終的に受け入れてくれることを期待して、多くの場合勤務時間外に従業員にプッシュ通知を大量に送信することで、従業員が勤務時間中に何度もログインしてアクセスを再認証する必要があることを利用します。怒りからのログイン要求。
ソーシャル エンジニアリングの専門家であり、SocialProof Security の CEO である Rachel Tobac 氏は、MFA 疲労攻撃は、MFA をすり抜けて組織をハッキングするための「最も簡単な方法」の 1 つだと述べています。
「はい、MFA 疲労は、被害者が睡眠中にリクエストを受け入れるまで繰り返すように見えることもありますが、多くの場合、勤務日の初めにリクエストを 10 回続けて送信したり、会議中に被害者が承認するまで不愉快なほどリクエストをスパム送信したりするだけです。受け入れる」とTobacはTechCrunchに語った。
従業員をだましてプッシュ通知を受け入れさせた後、ハッカーは従業員であるかのように MFA プッシュ通知を送信し、Uber のネットワークへの永続的なアクセスを許可することができました。
修正は何ですか?
セキュリティの専門家は、どのレベルの MFA も何もないよりはましであることに広く同意していますが、MFA 自体は万能薬ではありません。 多要素認証を使用し、依然としてネットワークが侵害されている企業は Uber だけではありません。
2020 年、ハッカーは、従業員をだまして、設定したフィッシング ページに資格情報を入力させることで、Twitter のネットワークに侵入しました。ハッカーは、従業員のデバイスに送信されるプッシュ通知を生成するために使用しました。 によると、従業員はプロンプトを受け入れ、攻撃者の侵入を許可しました。 ニューヨーク州政府による調査. 最近では、SMS メッセージングの巨人である Twilio が同様のフィッシング攻撃を使用して侵害され、Mailchimp もソーシャル エンジニアリング攻撃によってハッキングされ、従業員をだまして資格情報を渡させました。
これらの攻撃はすべて、高度に監査されたシステムのセキュリティ上の欠陥を探すのではなく、多くの場合、関与する個人を直接標的にすることによって、多要素認証の弱点を悪用します。
Cloudflare は、フィッシングできないハードウェア セキュリティ キーを使用しているため、最近の一連のサイバー攻撃でネットワーク侵害をブロックした唯一の企業です。 の ブログ投稿、Cloudflareは、一部の従業員が「フィッシングメッセージにだまされた」ことを認めましたが、資格情報を入力した後、従業員がUSBデバイスをコンピューターに物理的に接続する必要があるハードウェアセキュリティキーを使用することで、攻撃者がネットワークに侵入するのを防ぎました. Cloudflare は、この攻撃は「ほとんどの組織が侵害される可能性が高いと考えられる」方法で従業員とシステムを標的にしたと述べています。
セキュリティ キーは MFA セキュリティのゴールド スタンダードと見なされていますが、特にキーとその維持費のコストなど、独自の課題がないわけではありません。 「私たちは、すべての人にとってハードウェア セキュリティ キーの必要性について議論することに時間を費やしていますが、現場では、一部の組織は、内部アクセスに必須の SMS 2 要素認証または MFA プロンプトを求めてまだ戦っています」と Tobac 氏は述べています。
ランダムに生成されたコードやプッシュ通知による MFA は決して完璧ではありませんが、Uber の侵害が証明しているように、「完璧を善の敵にすることはできません」と Tobac 氏は言います。 「時間の経過とともに小さな改善が大きな違いを生み出します。」
「現在組織から寄せられている最大の質問は、既存の MFA ツールを構成して、Uber、Twilio、Twitter のハッキングで見られる攻撃方法を制限する方法についてです」と Tobac 氏は述べています。 「これは、組織が内部で数か月 (または数年) にわたって更新について議論に行き詰まらないように、迅速に実行できる小さな改善を検討するのに非常に役立ちます。」
ラウンドを行う重要な改善点の 1 つは MFA 番号照合です。これにより、ログインしているユーザーの画面にコードが表示され、そのコードをユーザーの確認済みデバイスのアプリに入力する必要があるため、ソーシャル エンジニアリング攻撃がはるかに困難になります。 攻撃者は、セキュリティ キーの場合と同様に、ターゲットの資格情報と検証済みのデバイスの両方を必要とするという考えです。
マイクロソフト、 オクタ と デュオ MFA番号のマッチングを提供します。 しかし セキュリティ研究者のケビン・ボーモントが指摘したように、Microsoft のソリューションはまだプレビュー段階であり、Okta の番号照合サービスは高価なライセンス層にバンドルされています。 Uber は MFA を Duo に依存していますが、 使用していなかったと報告されている 違反時の番号の一致。
「他のニュースでは、多くの 10 代の若者がリアルタイムでサイバーセキュリティ業界を再発明しているのを見ています」と Beaumont 氏はツイートしました。
ネットワーク防御者は、ユーザーが受け取ることができるプッシュ通知の数についてアラートと制限を設定することもできます.Tobac氏は、 ツイッターのスレッドで指摘された —そして、四半期ごとにグループを拡大することを目的として、ユーザーのテストグループにセキュリティキーを展開することから始めます.
一方、Uber は月曜日、違反に対応して MFA ポリシーを強化していると述べた。
ハッカーが請負業者の盗んだパスワードだけを使用して、残りの重要なシステムの高特権の資格情報にアクセスした方法については、Uber にはまだ多くの答えがあるかもしれません。