Em 15 de setembro, a Uber Technologies Inc. foi invadida por um jovem de 18 anos. O hacker comprou as credenciais roubadas de um funcionário da dark web e enviou uma enxurrada de solicitações de autenticação multifator (MFA) e mensagens falsas de TI para eles na esperança de entrar em sua conta. Irritado com os pop-ups ininterruptos, o funcionário cedeu e aprovou o pedido, desencadeando involuntariamente um ataque cibernético. Uma vez dentro, o hacker explorou uma conta privilegiada para acessar as informações críticas do Uber.
Isso não aconteceu por acaso, é um exemplo de Ataque de Fatiga MFA. Quando um invasor obtém as credenciais de uma conta, mas não consegue fazer login devido à MFA, ele aciona muitas solicitações para o alvo até que a exasperação vença. A vítima aceita a notificação e o hacker entra. Esse método funciona porque tira proveito de elementos humanos, como ignorância, confusão ou irritação.
O que aconteceu?
A violação começou com um ataque de malware que comprometeu a conta de um funcionário da Uber. Um hacker comprou as credenciais vazadas na dark web e tentou fazer login na conta do funcionário, mas não teve sucesso porque estava protegida por MFA.
O hacker realizou um ataque de fadiga de MFA ao funcionário, bombardeando-o com inúmeras solicitações de MFA por uma hora. Em seguida, fingiram ser da equipe de TI da Uber e entraram em contato com o funcionário pelo Whatsapp, pedindo que aceitassem a notificação push.
O funcionário, farto das notificações irritantes, cedeu e aprovou o pedido, desencadeando um ciberataque. Como resultado, o hacker obteve acesso à VPN do Uber.
Uma vez dentro da intranet do Uber, eles começaram a procurar informações confidenciais. Um dos scripts do PowerShell continha uma credencial de administrador codificada da ferramenta Privilege Access Management (PAM) da Uber.
Usando esse acesso de administrador, eles acessaram Amazon Web Services, Google Cloud Platform, DUO, DA, registros financeiros e alguns repositórios de código.
O hacker então postou uma mensagem no aplicativo interno de mensagens da empresa, Slack: “Anuncio que sou hacker e o Uber sofreu uma violação de dados”. Mas a mensagem ousada foi recebida com piadas e emojis rindo, os funcionários não percebendo que um ataque cibernético real estava ocorrendo.
O hacker fez login na conta de recompensas de bugs de vulnerabilidade HackerOne do Uber e deixou comentários em alguns tickets. Existem possibilidades de relatórios de vulnerabilidade de download de hackers.
O que aprendemos?
- Os ataques de fadiga de MFA tornaram-se cada vez mais comuns contra organizações conhecidas como Twitter, Cisco, Samsung e Okta apenas em 2022. Muitos usuários desconhecem essa estratégia maliciosa e acabam aprovando as notificações para que elas desapareçam.
- Na realidade, a maioria das organizações no mundo poderia ser hackeada da mesma forma que o Uber. Mas nesse caso, o pior erro foi codificar as credenciais de login de uma conta privilegiada em seus scripts do PowerShell. Este evento serve como um lembrete para ficarmos de olho em nossas paisagens PAM.
Como podemos nos proteger
Educar
A segurança da sua organização é tão boa quanto a conscientização de seus funcionários. Os funcionários continuam sendo a primeira linha de defesa de uma empresa e é fundamental que eles entendam sua responsabilidade na defesa da organização. Eles devem ser treinados para reconhecer as consequências de suas ações, bem como conhecer a estratégia de resposta no caso de um incidente.
Teste
A familiaridade gera desprezo, e estar acostumado com os procedimentos de sua organização pode fazer com que você perca alguns problemas de segurança evidentes. É por isso que uma nova perspectiva é necessária para contar tudo o que há de errado com sua rede. O teste de penetração é um método eficaz para identificar falhas, fortalecer as defesas e fechar as lacunas.
Observe
Esteja ciente do que está acontecendo ao seu redor. As lições aprendidas com esses incidentes devem ser levadas a sério. Eles frequentemente divulgam brechas, configurações incorretas ou vulnerabilidades em aplicativos de terceiros. Grandes violações são muitas vezes o resultado de um pequeno erro.
Zero Trust
Nunca confie em dispositivos, usuários ou aplicações dentro ou fora de uma rede até que tenham sido completamente verificados. Mais atenção precisa ser dada à proteção de um endpoint, pois eles provam ser o ponto de entrada mais fácil para os invasores. Invista em um produto que ajudará os administradores a criar e automatizar um protocolo de segurança Zero Trust para seus endpoints. As pessoas cometem erros, portanto, certifique-se de que sua tecnologia não cometa nenhum.
O Endpoint Central oferece uma solução inovadora Zero Trust para endpoints. Os locais de trabalho de hoje contêm uma ampla variedade de dispositivos que solicitam acesso dentro e fora da rede corporativa. O Endpoint Central considera todas as solicitações hostis, a menos que sejam acompanhadas de validação. Ele emprega verificações inteligentes para garantir a segurança dos dispositivos, incluindo dados, aplicativos e usuários. Não importa como a ameaça seja apresentada, seja interna ou externa, ou mesmo se o invasor já estiver dentro, essa estrutura protege contra ela. O Endpoint Central permite que as organizações apliquem políticas Zero Trust, garantindo uma experiência positiva ao usuário. Faça um teste gratuito de 30 dias agora mesmo!
