Perşembe günü Uber çalışanları, şirket Slack kanalında başarıyı açıklayan biri tarafından iç ağlarının büyük alanlarına erişildiğini keşfetti. The New York Times’a ve güvenlik araştırmacılarına ihlali belgeleyen ekran görüntüleri gönderen davetsiz misafir, 18 yaşında olduğunu iddia etti ve hikayeyi kıran haber çıkışına göre, olayın nasıl gerçekleştiği ve ne kadar ulaştığı konusunda alışılmadık bir şekilde ortaya çıktı.
Dahil olmak üzere bağımsız araştırmacılar için uzun sürmedi. Bill DemirkapiThe New York Times kapsamını doğrulamak ve davetsiz misafirin muhtemelen WhatsApp üzerinden bir Uber çalışanıyla iletişime geçerek ilk erişim elde ettiği sonucuna varmak için.
Uber hack oldukça şiddetli ve geniş kapsamlı. Anlaşılır biçimde zor olan bu dönemde mavi takımlarına bol şans ve sevgiler diliyorum. Şimdiye kadar gördüklerimize dayalı bazı düşünceler ve gözlemler ? 1/N
— Bill Demirkapı (@BillDemirkapi) 16 Eylül 2022
Bilgisayar korsanı, çalışanın hesap şifresini başarıyla aldıktan sonra, çalışanı çok faktörlü kimlik doğrulama için bir anında iletme bildirimini onaylaması için kandırdı. Davetsiz misafir daha sonra Uber’in bazı taç-mücevher ağ kaynaklarına erişim sağlayan idari kimlik bilgilerini ortaya çıkardı. Uber, ihlalin boyutunu araştırırken dahili ağının bazı bölümlerini kapatarak yanıt verdi.
Bilgisayar korsanının hangi verilere eriştiği veya bilgisayar korsanının başka hangi eylemleri gerçekleştirdiği henüz tam olarak net değil. Uber, kullanıcıları hakkında baş döndürücü bir dizi veri depolar, bu nedenle yüz milyonlarca insanın özel adreslerine ve saatlik geliş gidişlerine erişilebilir veya erişilmiş olabilir.
İşte şimdiye kadar bilinenler.
Hacker nasıl girdi?
NYT’ye göre, yukarıda bağlantılı Demirkapı tweet dizisi ve diğer araştırmacılar, bilgisayar korsanı, bir şekilde çalışanın WhatsApp numarasını keşfettikten sonra bir Uber çalışanını sosyal olarak tasarladı. Doğrudan mesajlarda, davetsiz misafir, çalışana, girilen kimlik bilgilerini gerçek zamanlı olarak hızla alan ve bunları gerçek Uber sitesine giriş yapmak için kullanan sahte bir Uber sitesine giriş yapması talimatını verdi.
Uber, çalışandan oturum açarken akıllı telefondaki bir düğmeye basmasını isteyen bir uygulama biçiminde, çok faktörlü kimlik doğrulamanın kısaltması olan MFA’ya sahipti. Bu korumayı atlamak için bilgisayar korsanı, kimlik bilgilerini tekrar tekrar gerçek siteye girdi. Görünüşe göre kafası karışmış veya yorgun olan çalışan sonunda düğmeye bastı. Bununla saldırgan içeri girdi.
Saldırgan, ortalıkta dolaştıktan sonra, bir yöneticinin sakladığı ve çeşitli hassas ağ yerleşim birimlerinde oturum açma sürecini otomatikleştiren powershell betiklerini keşfetti. Komut dosyaları gerekli kimlik bilgilerini içeriyordu.
Sonra ne oldu?
Saldırganın Uber Slack kanallarında şirket çapında metinler gönderdiği ve başarıyı bildirdiği bildirildi.
NYT’ye göre bir mesajda, “Bir bilgisayar korsanı olduğumu ve Uber’in bir veri ihlali yaşadığını duyuruyorum” dedi. Ekran görüntüleri, kişinin Uber’in Amazon Web Hizmetleri ve G Suite hesapları ve kod depoları da dahil olmak üzere varlıklara erişimi olduğuna dair kanıt sağladı.
Bilgisayar korsanının başka hangi verilere eriştiği ve bilgisayar korsanının bunlardan herhangi birini kopyalayıp kopyalamadığı veya tüm dünyayla paylaşıp paylaşmadığı belirsizliğini koruyor. Uber Cuma günü açıklama sayfasını şu şekilde güncelledi: “Olayın hassas kullanıcı verilerine (seyahat geçmişi gibi) erişim içerdiğine dair hiçbir kanıtımız yok.”
Hacker hakkında ne biliyoruz?
Fazla değil. Kişi 18 yaşında olduğunu iddia ediyor ve Uber sürücülerinin düşük ücret aldığından şikayet etmek için Uber Slack kanallarına gitti. Bu ve davetsiz misafirin ihlali gizlemek için hiçbir adım atmamış olması, ihlalin büyük olasılıkla fidye yazılımı, gasp veya casusluktan elde edilen finansal kazançtan kaynaklanmadığını gösteriyor. Bireyin kimliği şu ana kadar bilinmiyor.
Uber şimdi ne yapıyor?
Şirket ihlali kabul etti ve araştırıyor.
Şu anda bir siber güvenlik olayına müdahale ediyoruz. Kolluk kuvvetleriyle temas halindeyiz ve ek güncellemeler geldikçe burada yayınlayacağız.
— Uber İletişimleri (@Uber_Comms) 16 Eylül 2022
18 yaşında mı yaptı Gerçekten dünyanın en hassas şirketlerinden birinin mücevherlerine erişmek mi? Bu nasıl olabilir?
Kesin bir şey söylemek için çok erken, ancak senaryo makul, hatta muhtemel görünüyor. Kimlik avı saldırıları, ağa izinsiz girişin en etkili biçimlerinden biri olmaya devam ediyor. İzinsiz girmenin çok daha kolay yolları varken neden pahalı ve karmaşık sıfırıncı gün istismarlarıyla uğraşasınız ki?
Dahası, son birkaç aydaki kimlik avı saldırıları giderek daha karmaşık hale geldi. Kısa süre önce Twilio’yu ihlal eden ve daha birçok şirketi hedef alan bu saldırıya tanık olun. Kimlik avı sayfası, girilen kullanıcı adlarını ve şifreleri, mesajlaşma hizmeti Telegram üzerinden saldırganlara otomatik olarak iletti ve saldırgan bunları gerçek siteye girdi. Bir kullanıcı, bir kimlik doğrulama uygulaması tarafından oluşturulan tek seferlik bir parola girdiğinde, saldırganlar bunu da girdi. Bir hesabın Duo Security gibi bir uygulama tarafından korunması durumunda, saldırganlar, çalışan buna uyduğu anda erişim elde ederdi.
Bu, tek seferlik parolalar veya push işlemleri kullanan MFA’nın işe yaramaz olduğu anlamına mı geliyor?
Bu tür bir MFA, bir veritabanı ihlali nedeniyle parolalarının tehlikeye girmesi durumunda kullanıcıları koruyacaktır. Ancak defalarca gösterildiği gibi, kimlik avı saldırılarını durdurmada ne yazık ki yetersizler. Şimdiye kadar, kimlik avına karşı dayanıklı olan tek MFA biçimleri, FIDO2 olarak bilinen bir endüstri standardına uyanlardır. MFA altın standardı olmaya devam ediyor.
Birçok kuruluş ve kültür, üyelerinin kimlik avı saldırılarına düşmeyecek kadar akıllı olduğuna inanmaya devam ediyor. Bir telefon veya fiziksel anahtara sahip olmayı gerektiren FIDO2 MFA biçimlerine kıyasla kimlik doğrulama uygulamalarının rahatlığını severler. Bu tür ihlaller, bu zihniyet değişene kadar hayatın bir gerçeği olarak kalacaktır.
Şu ana kadar ihlale tepkiler ne oldu?
Uber’in hisse senedi fiyatı, birçok şirketin hisse fiyatlarını daha da düşüren geniş bir satışın ortasında Cuma günü yaklaşık yüzde 4 düştü. Dow Jones Sanayi Ortalaması yüzde 1 düştü. S&P 500 ve Nasdaq Composite sırasıyla yüzde 1,2 ve yüzde 1,6 düştü. Uber hisselerini neyin düşürdüğü ve eğer varsa, ihlalin düşüşte ne gibi bir etkisi olduğu açık değil.