Uber: incidente de Ciberseguridad

El pasado 16 de Septiembre del 2022 la empresa Uber, proveedora de servicios de transporte, publicó en la cuenta de Twitter que estaban respondiendo a un incidente de ciberseguridad.

El presunto atacante indicó que tenía acceso de administrador a portales críticos de la empresa, como los son Amazon Web Services y Google Cloud Platform.

Como medidas de remediación, Uber desconectó varios sistemas internos incluido Slack mientras se investigaba a detalle las causa, veracidad de lo mencionado por el actor y los posibles impactos y remediación de dicho incidente.

¿Qué es lo que sucedió en el ataque cibernético de Uber?

En una actualización de seguridad que publica Uber el 19 de Septiembre (3 días después de la notificación de la respuesta al incidente), se explica que el atacante comprometió la cuenta de un contratista externo de Uber, del que se cree la contraseña pudo ser adquirida en la Dark Web.

Uber menciona que el atacante intento en repetidas ocasiones  ingresar a la cuenta Uber del contratista, y como el acceso “supuestamente” está protegido con una solución de Multi Factor Authentication (MFA), se envió al contratista una solicitud de aprobación en cada intento de acceso, donde al parecer uno de ellos fue aceptado consiguiendo así el acceso a la cuenta que permitió posteriormente poder tener acceso a cuentas de empleados de Uber que finalmente le dieron al atacante permisos elevados en las plataformas antes mencionadas.

Impacto del hackeo a Uber.

Durante el ataque se pudo acceder a varios sistemas internos críticos y aunque Uber asegura haber tomado las medidas correctivas no dejan de ser eso, una “corrección” que genera una sensación de incertidumbre importante primero, en las personas responsables de la ciberseguridad de la compañía y segundo, en todos sus usuarios que han optado por tomar sus propias medidas como por ejemplo, cambiar contraseñas, eliminar los métodos de pago almacenados y eliminar las ubicaciones guardadas; otros tantos más paranoicos decidieron deshabilitar su cuenta.

Como consecuencia inmediata y obvia, Uber estará lidiando con la disminución del uso de sus servicios y con el daño a su reputación.

Remediación/Prevención.

Con este evento queda claro que Uber debe robustecer de entrada, los métodos de autenticación utilizados, la primer área de oportunidad está relacionada a la autenticación de multi factor que dicen tener, donde seguramente se tendrán que ajustar las políticas (o cambiar de solución de MFA) para incluir más factores de autenticación diferentes a los habituales (la cuenta, contraseña y código de one-time o token), como por ejemplo la validación de la ubicación desde donde se genera el intento de acceso, el uso de dispositivos biométricos, el análisis de los atributos del dispositivo/navegador desde el que intenta acceder, los comportamientos anómalos al iniciar una sesión, entre otros.

Por otro lado, en este incidente el atacante pudo conseguir privilegios de administración, que es elemento principal por el que este incidente es considerado crítico.

Para evitar este y otros mecanismos que se utilizan para escalar privilegios se deben tener medios preventivos que permitan tener control de los accesos y cuentas privilegiadas que pueden tener los usuarios, así como el control de las tareas, procesos y aplicaciones críticas que se ejecutan en el dispositivo de los usuarios.

Es necesario poder tener siempre la garantía de que el usuario que ingresa a un recurso solamente tiene el acceso que debe tener para hacer su trabajo con los permisos necesarios solamente en el momento que los debe de tener.

En TrustDimension tenemos experiencia diseñando e implementando soluciones de autenticación multi factor (MFA), soluciones de gestión de accesos y cuentas privilegiadas (PAM) y soluciones de gestión de privilegios en el endpoint (EPM) con varios casos de éxito, la convergencia de estas soluciones inducidas por el Principio del Mínimo Privilegio (PoLP) lograran que tengas una barrera importante para este tipo de ataques.

Si tienes dudas de si tu empresa se encuentra a salvo de este tipo de amenazas informáticas, o deseas prevenir y proteger de manera acertada tu organización no dudes en contactarnos, un profesional altamente calificado, te asistirá en todo lo que necesites.

Referencia:

https://www.uber.com/newsroom/security-update/