Uber が 10 代の若者にハッキングされた – これまでにわかっていること

UPDATE 9/16/2022 1:56 PM ET: Uber は The New York Times のレポートに応答しました。 同社は、機密データがアクセスされ、法執行機関に通知されたという証拠はないと述べています. 以下の元のレポートをお読みください。

ライドシェア大手の Uber は今日、ハッキングされたことを認めた。 The New York Timesに語った攻撃者は、同社の内部エンジニアリングおよび通信システムに侵入したと主張しています。

この事件は非常に多くのレベルで奇妙です。 侵入の範囲は不明のままですが、私たちが知っていることは本当に驚くべきことです.

私たちが持っているわずかな情報を使用して、この事件を分析し、Uber の対応を分析し、Uber の乗客に起こりうる結果を調査します。

攻撃者

朗報があります。攻撃者は、営利目的の犯罪組織や国家が支援するハッキング組織の一員として活動しているようには見えません。

実際、このハッカーは好奇心と、世界で最も価値のあるタクシー会社のデジタル防御を突破したいという欲求に突き動かされているようです。

どうすればこれを知ることができますか? まず、攻撃者は動機についてかなり率直でした。 The New York Timesと話すと、彼らは 18 歳のサイバーセキュリティ愛好家であると主張しました。

Uber が照準を合わせたのはなぜですか? 攻撃者が「セキュリティが弱い」と主張したためです。

さらに、彼らはその存在を Uber に発表しました。 内部システムへのアクセスを取得した後、ハッカーは Slack に次のようなメッセージを投稿しました。

真の悪意のあるアクターは、可能な限り沈黙を保つ傾向があります。 または、彼らは会社を無力化して高額の身代金を引き出すために断固として行動します。 ここではそのどちらも起こりませんでした。

また、Slack のメッセージは、Uber にドライバーへの支払いを増やすよう求め、いくつかの内部データベースをリストアップしました。 The New York Timesによると、攻撃者は最後のとどめの一撃として、「従業員向けの内部情報ページに露骨な写真」を投稿しました。

攻撃

これを書いている時点では、Uber はセキュリティ インシデントに関する事後分析をまだ公開していません。 それは理解できます。 この話はとても新鮮です。

ここで明確にするために、攻撃者自身の証言とNYT の報告に頼る必要があります。 論文によると、攻撃者は単純なソーシャル エンジニアリング戦術を使用していました。

彼らは、「企業の情報技術担当者」になりすまして、従業員にパスワードを渡すよう説得しました。

その後に何が起こったのかは不明のままです。 あるNYTの情報筋は、攻撃は Uber のシステムの「完全な侵害」であると主張しました。

しかし、妥協と壊滅的な侵害には違いがあります。 インシデントがこれらの極のどちらに位置するかは、主に意図にかかっています。

2017 年の Uber へのハッキングのように、攻撃者が大量のユーザー データを盗み出して販売したり、身代金を要求したりする場合、インシデントは後者のカテゴリに分類されます。 これまでのところ、その証拠はありません。

金銭的な動機がないからといって、起こったことを正当化することはできません。 しかし、このハッカーが、サイバーセキュリティ法をほとんど理解していない好奇心旺盛な 10 代であることを示しています。

セキュリティ専門家の Marcus Hutchins 氏によると、攻撃者は従業員のアカウントを侵害した後、管理者の資格情報がハードコードされた Microsoft PowerShell スクリプトを見つけました。

これらの資格情報を使用して、ハッカーは Uber の IT 装置の他の部分に侵入できます。 セキュリティ分野では、これを「横移動」と呼んでいます。

別の言い方をすれば、攻撃者は、より多くのシステムを侵害することで、徐々に攻撃力を高め、それぞれがパズルの別のピースを提供します。

応答

Uber は、ユーザーへの影響をまだ明らかにしていません。 同社は、企業が情報漏えいを経験した場合によくあることですが、ニュースルームのページで正式な発表をまだ行っていません。

ツイートで、Uber は法執行機関と協力して事件を調査していると述べた。

攻撃者がさまざまな報道機関と話をしており、Uber のネットワークに自分の存在を隠すことを躊躇しなかったことを考えると、今後数週間から数か月のうちに、早朝にドアをノックして目を覚ます可能性が非常に高くなります。

Opsec (または「運用上のセキュリティ」、ユーザーの操作を隠すプロセス) は、彼らの最優先事項ではない可能性があります。

これは Uber の顧客にとって何を意味しますか?

正直なところ、わかりません。 攻撃者が何にアクセスしたか、データを盗み出したかどうか、または顧客情報に関する Uber のポリシーに関する決定的な情報はありません。

そのため、次の手順を実行することをお勧めします。

• 予防措置として、Uber のパスワードを強力でユニークなものに変更してください。 理想的には、Uber はパスワードをハッシュとソルティングで保護する必要があります (ここで説明されているように)。 そうでない場合、または十分なレベルに達していない場合は、パスワードを変更するとアカウントが保護されます。
• 2 要素認証 (MFA または 2FA) を設定する
• デビットカードの詳細を削除します。 Uber の乗車料金をクレジット カードで支払うということは、攻撃者があなたのアカウントを乗っ取った場合にチャージバックできるということです。

KnowTechieは、Uber の担当者にコメントを求めました。 返信がありましたら、この投稿を更新します。

UPDATE 9/20/2022 8:30 AM ET: Uber は会社のブログに投稿を公開しました。この投稿では、正確に何が起こったのか、最近のセキュリティインシデントへの対応をどのように処理しているかについての最新情報を提供しています.

同社は、侵害の深刻度、それがどのように発生したか、誰が責任を負ったか、問題を軽減するために何を行っているかを概説しています。 調査は現在も進行中であり、同社は現在、デジタル フォレンジック企業と協力して問題を解決しています。

これについて何か考えはありますか？ ディスカッションを Twitter または Facebook に持ち込んでください。

編集者の推奨事項:

• TikTok の新しいハッキングにより、ソース コードとユーザー データが公開されたと報告されています
• LastPass は新しいデータ侵害を報告しますが、パニックの原因はありません
• ハッカーが象徴的な FPS Doom を John Deere トラクターに移植
• 新しいエクスプロイトにより、ハッカーは 2012 年以降に製造されたすべてのホンダのロックを解除できます