نقض بزرگ Uber بر کلاهبرداری اجتماعی هکرها روشن می شود

سرویس Ride-hailing Uber روز جمعه اعلام کرد که تمام سرویس‌های آن پس از آنچه کارشناسان امنیتی آن را نقض بزرگ داده‌ها می‌نامند، راه‌اندازی شده‌اند و گفتند هیچ مدرکی دال بر دسترسی هکر به داده‌های حساس کاربر وجود ندارد.

اما این رخنه، ظاهراً توسط یک هکر تنها، روی یک روال نفوذ مؤثر که شامل مهندسی اجتماعی می‌شود، در کانون توجه قرار گرفته است: هکر ظاهراً با ظاهر شدن به عنوان یک همکار، به یک کارمند Uber دسترسی پیدا کرده است تا اعتبارنامه‌اش را تحویل دهد.

سپس توانستند رمزهای عبوری را در شبکه بیابند که سطح دسترسی ممتاز را برای مدیران سیستم به آنها می‌دهد.

آسیب احتمالی جدی است: اسکرین‌شات‌هایی که هکر با محققان امنیتی به اشتراک گذاشته است نشان می‌دهد که آنها به سیستم‌های مبتنی بر ابر که در آن Uber اطلاعات حساس مشتریان و مالی را ذخیره می‌کند، دسترسی کامل پیدا کرده‌اند.

معلوم نیست هکر چه مقدار داده را دزدیده یا چه مدت در شبکه اوبر بوده است. دو محققی که مستقیماً با این فرد صحبت کردند – که برای یکی از آنها خود را یک جوان 18 ساله معرفی کرد – گفتند که به نظر می رسد او به تبلیغات علاقه مند است. هیچ نشانه ای وجود ندارد که آنها هیچ داده ای را از بین ببرند.

اما فایل هایی که با محققان به اشتراک گذاشته شده و به طور گسترده در توییتر و سایر رسانه های اجتماعی منتشر شده است نشان می دهد که هکر توانسته به مهم ترین سیستم های داخلی اوبر دسترسی پیدا کند.

دسترسی او واقعا بد بود. این بسیار وحشتناک است.

واکنش آنلاین جامعه امنیت سایبری – Uber همچنین در سال 2016 از نقض بزرگی متحمل شد – تند بوده است.

این هک “پیچیده یا پیچیده نبود و ظاهراً به فرهنگ امنیتی سیستم و خطاهای مهندسی متعدد بستگی داشت.” لزلی کارهارت در توییتی نوشت: مدیر پاسخگویی به حوادث شرکت Dragos، که در سیستم های کنترل صنعتی تخصص دارد.

لئو گفت اسکرین شات های به اشتراک گذاشته شده توسط هکر نشان می دهد که مهاجم به سیستم های ذخیره شده در آمازون و سرورهای مبتنی بر ابر گوگل دسترسی داشته است، جایی که Uber کد منبع، داده های مالی و داده های مشتری مانند گواهینامه رانندگی را ذخیره می کند.

«اگر او کلیدهای پادشاهی را داشت، می‌توانست سرویس‌ها را خاموش کند. او می توانست چیزهایی را حذف کند. لئو، محقق و رئیس توسعه کسب و کار در شرکت امنیتی Zellic، گفت: این می تواند داده های مشتری را دانلود کند، رمز عبور افراد را تغییر دهد.

اسکرین شات هایی که هکر به اشتراک گذاشته است – که بسیاری از آنها راه خود را آنلاین پیدا کردند – داده های مالی حساس و دسترسی به پایگاه های داده داخلی را نشان می دهد. همچنین به طور گسترده به صورت آنلاین گزارش شده است: هکر روز پنجشنبه نقض سیستم همکاری داخلی Slack Uber را اعلام کرد.

لئو به همراه سام کوری، مهندس آزمایشگاه یوگا که با هکر نیز ارتباط داشت، گفتند هیچ نشانه‌ای وجود ندارد که هکر آسیبی به آن وارد کرده باشد یا به چیزی بیش از تبلیغات علاقه داشته باشد.

لئو گفت: کاملاً واضح است که او یک هکر جوان است زیرا او چیزی را می خواهد که 99 درصد از آنچه هکرهای جوان می خواهند، یعنی شهرت است.

کری گفت که با چند تن از کارمندان اوبر روز پنجشنبه صحبت کرده است و آنها گفتند که “در تلاش هستند تا همه چیز را در داخل مسدود کنند” تا دسترسی هکرها را محدود کنند. او گفت که این شامل شبکه Slack شرکت سانفرانسیسکو نیز می شود.

در بیانیه ای که روز جمعه به صورت آنلاین منتشر شد، اوبر گفت: «ابزارهای نرم افزاری داخلی که دیروز به عنوان یک اقدام احتیاطی حذف کردیم، دوباره آنلاین می شوند».

او گفت که همه خدمات او – از جمله Uber Eats و Uber Freight – کار می‌کنند و او به مجریان قانون اطلاع داده است. FBI در ایمیلی اعلام کرد که “از حادثه سایبری مربوط به Uber آگاه است و کمک های ما به این شرکت ادامه دارد.”

اوبر گفت هیچ مدرکی مبنی بر دسترسی ناقض به «داده‌های حساس کاربر» مانند سابقه سفر وجود ندارد، اما به سؤالات آسوشیتدپرس، از جمله اینکه آیا داده‌ها به صورت رمزگذاری شده ذخیره شده‌اند یا خیر، پاسخ نداد.

کری و لئو گفتند که هکر مشخص نکرده است که چه مقدار داده کپی شده است. اوبر هیچ اقدام خاصی مانند تغییر رمز عبور را برای کاربران خود توصیه نمی کند.

این هکر روز پنجشنبه با استفاده از یک حساب کاربری داخلی Uber در شبکه شرکت، به محققان در مورد این نفوذ هشدار داد. برای انتشار آسیب‌پذیری‌های شناسایی شده از طریق برنامه bug bounty استفاده می‌شود، که به هکرهای اخلاقی برای یافتن آسیب پذیری های شبکه پول می دهد.

هکر پس از اظهار نظر در مورد این پست ها، آدرس اکانت تلگرام را ارائه کرد. کری و سایر محققان سپس آنها را در گفتگوی جداگانه ای درگیر کردند که در آن مهاجم اسکرین شات ها را به عنوان مدرک ارائه کرد.

AP سعی کرد با هکر حساب تلگرام تماس بگیرد اما پاسخی دریافت نکرد.

به نظر می رسد اسکرین شات های ارسال شده به صورت آنلاین آنچه را که محققان می گویند هکر ادعا کرده است تایید می کند: اینکه آنها از طریق مهندسی اجتماعی به حیاتی ترین سیستم های Uber دسترسی ممتازی پیدا کرده اند.

سناریوی ظاهری:

هکر ابتدا رمز عبور یکی از کارکنان اوبر را احتمالاً از طریق فیشینگ به دست آورد. سپس هکر کارمند را با اعلان‌های هدفمند بمباران می‌کند و از آنها می‌خواهد که ورود از راه دور به حساب خود را تأیید کنند. هنگامی که کارمند پاسخ نداد، هکر از طریق واتس اپ تماس گرفت و خود را به عنوان یک همکار از بخش فناوری اطلاعات نشان داد و ابراز اضطرار کرد. در نهایت کارمند منصرف شد و با یک کلیک ماوس تایید کرد.

مهندسی اجتماعی یک استراتژی هک محبوب است زیرا افراد معمولا ضعیف ترین حلقه در هر شبکه هستند. ریچل توبک، مدیر عامل SocialProof Security، که متخصص آموزش کارگران برای اینکه طعمه مهندسی اجتماعی نشوند، گفت که نوجوانان در سال 2020 از آن برای هک کردن توییتر استفاده کردند و اخیراً در هک شرکت های فناوری Twilio و Cloudflare استفاده شد.

توباک در توییتی نوشت: «حقیقت سخت این است که بیشتر سازمان‌ها در جهان را می‌توان به همان روشی که اوبر هک کرد، هک کرد. او در مصاحبه‌ای گفت که «حتی افراد با فن‌آوری فوق‌العاده هر روز به دنبال روش‌های مهندسی اجتماعی می‌شوند».

رایان شرستوبیتوف، تحلیلگر ارشد تهدید در SecurityScorecard می‌گوید: «حمله‌کنندگان در دور زدن یا ربودن MFA (احراز هویت چند عاملی) بهتر می‌شوند.

به همین دلیل است که بسیاری از متخصصان امنیتی استفاده از کلیدهای امنیتی فیزیکی FIDO را برای احراز هویت کاربر توصیه می کنند. با این حال، پذیرش چنین سخت افزاری در میان شرکت های فناوری ناهموار بوده است.

تام کلرمن از Contrast Security گفت: این هک همچنین نیاز به نظارت در زمان واقعی در سیستم های ابری را برای شناسایی بهتر مزاحمان برجسته کرد. “به محافظت از ابرها از داخل باید توجه بیشتری شود” زیرا یک کلید اصلی معمولا می تواند قفل تمام درهای آنها را باز کند.

برخی از کارشناسان این سوال را مطرح کرده اند که امنیت سایبری در اوبر از زمان هک شدن آن در سال 2016 چقدر بهبود یافته است.

افسر ارشد امنیتی سابق آن، جوزف سالیوان، در حال حاضر به دلیل ترتیب دادن پرداخت 100000 دلار به هکرها برای سرپوش گذاشتن بر این دزدی با فناوری پیشرفته، زمانی که اطلاعات شخصی حدود 57 میلیون مشتری و راننده به سرقت رفت، محاکمه می شود.