Uber é violado novamente após invasores comprometerem nuvem de terceiros

Uber é violado novamente após invasores comprometerem nuvem de terceiros. Atores de ameaças vazam endereços de e-mail de funcionários, relatórios corporativos e informações de ativos de TI em um fórum de hackers após um ataque a um parceiro de tecnologia da Uber.

A Uber sofreu mais um vazamento de dados de alto perfil que expôs dados confidenciais de funcionários e empresas. Desta vez, os invasores violaram a empresa ao comprometer um servidor em nuvem da Amazon Web Services (AWS) usado por terceiros que fornecem à Uber serviços de gerenciamento e rastreamento de ativos.

O incidente aconteceu no fim de semana, 10 e 11 de dezembro, de quando um agente de ameaças chamado “UberLeaks” começou a postar dados que alegava terem sido roubados do Uber e do Uber Eats. Os dados apareceram no fórum de hackers BreachForums, o sucessor do agora extinto RaidForums , informaram os meios de comunicação, e incluíam endereços de e-mail de funcionários, relatórios corporativos e informações de ativos de TI roubadas.

Os hackers publicaram vários arquivos que, segundo eles, são códigos-fonte associados a várias plataformas de gerenciamento de dispositivos móveis (MDM) usadas pelo Uber, bem como pelo Uber Eats e serviços de fornecedores terceirizados, de acordo com relatórios . Embora nenhuma informação do usuário pareça ter sido comprometida na violação – que parece ter afetado totalmente os ativos corporativos – as informações pessoais de 77.000 funcionários do Uber vazaram.

Hacker viola Tequitivity AWS Server 

O Uber reconheceu o incidente e apontou para a mídia uma notificação de violação por uma empresa chamada Tequitivity, que usa para gerenciamento de ativos e serviços de rastreamento.

A Tequitivity explicou que “os dados do cliente foram comprometidos” devido ao “acesso não autorizado” aos sistemas da empresa por “um terceiro mal-intencionado“, de acordo com o comunicado da Tequitivity . Especificamente, os invasores obtiveram acesso ao servidor de backup da AWS da empresa, que abriga códigos e arquivos de dados relacionados aos clientes da Teqtivity, disse a empresa.

Não está claro se esse acesso foi devido a uma configuração incorreta do balde de nuvem ou se houve um comprometimento real para culpar.

As informações expostas pelo ataque incluíam informações armazenadas em vários dispositivos de TI dos funcionários da Uber, incluindo número de série, marca, modelos e especificações técnicas, bem como informações dos funcionários, incluindo nome e sobrenome, endereços de e-mail de trabalho e detalhes do local de trabalho, de acordo com para Teqtivity.

A Teqtivity notificou os clientes afetados e está atualmente investigando e trabalhando para conter o incidente, de acordo com a notificação. Não está claro se a violação afeta outras empresas além da Uber.

Problemas de segurança em andamento

Este último incidente não é de fato o primeiro da Uber quando se trata de violações de dados, já que a empresa passou por vários incidentes altamente divulgados nos últimos anos que tiveram ramificações significativas para a empresa.

Na verdade, uma violação anterior de terceiros que ocorreu em 2016 e expôs os dados de cerca de 57 milhões de clientes e motoristas se transformou em um pesadelo absoluto de relações públicas para o Uber, cujos efeitos ainda estão sendo sentidos.

Esse incidente – no qual os invasores também obtiveram acesso aos dados do Uber armazenados em armazenamento em nuvem de terceiros – resultou na demissão de seu agora ex-CISO Joe Sullivan depois que foi descoberto que a empresa estava envolvida em um encobrimento do incidente . Sullivan foi considerado culpado em um tribunal federal por acusações relacionadas ao incidente em outubro.

A Uber também sofreu uma violação significativa em setembro e foi forçada a colocar algumas de suas operações offline devido ao comprometimento de seus próprios sistemas internos, quando um invasor invadiu socialmente a conta VPN de um funcionário antes de se aprofundar na rede

Em setembro publicamos aqui no Blog que um Hacker obteve acesso a chave do Gerenciador de Senhas Privilegiadas (PAM) do Uber . O acesso inicial foi obtido depois que o hacker se fez passar por um membro do departamento de TI e enviou um texto a um funcionário solicitando sua senha, de acordo com o relatório . O agressor alega ter apenas 18 anos.

A gangue Lapsus$ é responsável pela violação do Uber?

Embora nenhum grupo de ameaças em particular tenha reivindicado a responsabilidade ou tenha sido considerado o culpado por trás da última violação, existem algumas pistas iniciais que ligam o incidente ao conhecido grupo de extorsão cibercriminosa Lapsus$ .

A postagem no BreachForums sobre o vazamento do Uber supostamente menciona o grupo de ameaças, enquanto acredita-se que o Lapsus$ também seja responsável pela violação do Uber em setembro, disse Robert Ames, pesquisador de ameaças do SecurityScorecard, ao Dark Reading.

Ames também aponta a responsabilidade da Lapsus$ por um incidente de janeiro na Okta , outro “grande serviço terceirizado para muitas empresas“, como uma pista potencial de que o grupo de ameaças também está em jogo aqui. Foi determinado que esse incidente afetou cerca de 366 clientes da Okta, reconheceu a empresa.

O Lapsus$ ficou quieto por volta de julho, após uma série de incidentes no início do ano, incluindo não apenas aquele contra a Okta, mas também ataques à Microsoft e à Nvidia. Sua responsabilidade pelo ataque de setembro ao Uber pode ser um sinal de outra onda de atividade do grupo de ameaças, dizem os especialistas.

Hora de gerenciar riscos de segurança cibernética de terceiros e na nuvem

Não importa quem seja o responsável, o último incidente do Uber, como o de 2016, mais uma vez destaca o risco de terceiros que todas as empresas enfrentam quando empresas parceiras são responsáveis ​​ou têm acesso a dados e ativos corporativos, dizem especialistas em segurança.

Um problema central é que muitas organizações não protegem o acesso de terceiros aos dados internos da mesma forma que protegem os ativos de TI da organização, o que deixa esses dados expostos desnecessariamente a ameaças externas, diz Ames.

Fornecedores e outros terceiros geralmente recebem o mesmo acesso que os funcionários, mas com menos medidas de segurança, tornando-os um elo fraco e, portanto, um alvo popular para os agentes de ameaças”, diz ele. “Quando os hackers acessam os sistemas de terceiros, eles podem acessar quaisquer dados que o sistema armazene, mesmo que pertençam a outras organizações”.

De fato, esse é um problema não exclusivo do Uber, mas que demonstra que “empresas em todos os lugares devem priorizar melhor suas medidas de segurança cibernética”, especialmente quando se trata de terceiros, diz Stephan Chenette, cofundador e CTO da AttackIQ.

Algumas maneiras pelas quais as empresas podem fazer isso incluem mapear recursos organizacionais e controles de segurança para cenários de ataque específicos para medir sua preparação para detectar, prevenir e responder a essas ameaças, diz ele.

Eles também devem avaliar continuamente seus controles de segurança existentes para descobrir lacunas antes que um hacker encontre e explore qualquer ponto fraco“, diz Chenette.

As empresas também devem monitorar continuamente sua postura específica de segurança cibernética de terceiros para reduzir a probabilidade de ataques, diz Ames. Isso ajudará a fornecer a eles uma visão mais completa de toda a superfície de ataque, à medida que buscam maneiras de obter visibilidade de vulnerabilidades potenciais e existentes.

Ames acrescenta que participar de exercícios de mesa e emulação de ameaças para garantir que administradores de segurança e funcionários estejam familiarizados com o combate e a resposta a agentes de ameaças também pode ajudar as organizações a responder melhor a ameaças de terceiros.

Fonte: Darkreading

Veja também:

 

Sobre mindsecblog 2401 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!