Uber data breach: come un hacker 18enne ha violato i sistemi del colosso del trasporto automobilistico privato.
Uber data breach: “compromissione totale”
Stiamo parlando di Uber, il colosso della mobilità condivisa a basso costo. Che spende milioni di dollari in cyber sicurezza. Eppure Uber è stata “bucata”:
“sembra che abbiano compromesso molte cose”
e
da quello che sembra, si tratta di una compromissione totale”
ha dichiarato Sam Curry, un ingegnere informatico tra i primi a comunicare con l’attaccante.
Uber è stata costretta a disattivare i sistemi di comunicazione e di ingegneria interni, per analizzare l’incidente e minimizzare i rischi. La società ha anche diramato un comunicato ufficiale, consultabile integralmente qui.
Uber data breach: come un 18enne ha violato la sicurezza informatica di un colosso
Ora, il data breach di Uber é interessante perché si è scoperto che è stato condotto da un 18enne che non ha usato ne malware ne strumenti di penetrazione nelle reti. Come ricostruito dal New York Times, l’attaccante, molto semplicemente, si è finto un professionista IT aziendale. Ha convinto un dipendente a fornirgli le password di accesso ai suoi account nella rete interna, compreso l’account Slack. Tramite questo account ha quindi inviato un avviso che parlava proprio di violazione dei dati e allegava, a riprova, una schermata con l’elenco completo dei database compromessi.
Un classico caso di ingegneria sociale, quel tipo di attacco informatico in cui non si fa leva su vulnerabilità dei sistemi hardware o software, ma direttamente sugli esseri umani.
Una volta avuto accesso all’account del dipendente, il 18enne è riuscito a mettere le mani su altre credenziali, comprese alcune altamente privilegiate rintracciate in una cartella nelle condivisioni di rete. Da qui è entrato
- nei sistemi di produzione,
- nella console EDR,
- nel domain control Windows;
- in uber.slack;
- in Amazon Web Services;
- nelle macchine virtuali VMware ESXi,
- nel pannello di gestione degli account email di Google Workspace;
- in G Suite, OneLogin, Duo ecc…
- e ha avuto perfino accesso al codice sorgente di Uber. Uber è dovuta correre ai ripari è ha indicato ai dipendenti di sospendere l’uso di Slack.
L’ingegneria sociale fa paura: non c’è sistema di cybersecurity che tenga
Uber è una società che spende, annualmente, milioni di dollari in cybersecurity. Eppure un 18enne, senza malware o complessi exploit, è dilagato ovunque dopo aver ottenuto una coppia di credenziali username + password per accedere alla rete interna.
L’attacco a Uber ha ovviamente fatto molto clamore e riacceso i riflettori su una delle principali minacce alla sicurezza informatica, ovvero l’ingegneria sociale. L’ingegneria sociale, ovvero la tecnica di fingersi qualcun altro e convincere la vittima a fornire credenziali e dati sensibili, non è una tecnica di attacco nuova. E’ particolare, indubbiamente, perché è l’unica tecnica di attacco informatico che non fa leva su hardware e software ma sugli umani. Ma non è una novità.
La pandemia però ha cambiato il contesto. Il ricorso massivo allo smart working ha portato frettolosi cambiamenti dei quali, forse, non siamo, ancora, neppure del tutto consapevoli. Ad esempio il supporto IT si è spostato sempre più su canali digitali: più che chiamare fisicamente il referente IT, nelle grandi aziende (e non solo) è sempre più comune che il supporto passi da piattaforme di messaggistica, da Zoom, da Google Meet e simili. Ne consegue che sia divenuto normale, per molti dipendenti, ricevere via email o altri canali comunicazioni provenienti dal team IT, dalla dirigenza aziendale ecc.. Più queste prassi si diffondono, più è facile per un attaccante fingersi qualcuno (magari raccogliendo online e sui social informazioni sulla persona da impersonificare, così da risultare molto credibile) e trarre in inganno altre persone.
Ed è esattamente quanto successo a Uber, il cui dipendente semplicemente si è convinto che il referente IT avesse bisogno delle sue credenziali di accesso alla rete aziendale per risolvere un problema di sicurezza. E qui non c’è antivirus, firewall, VPN che tenga.
Per saperne di più > Data breach Italia: un diluvio di dati in vendita nel dark web
Contro l’ingegneria sociale, due strumenti: formazione e approccio zero-trust
Da questa vicenda ci sono alcuni insegnamenti da trarre. Prima di tutto che si possono spendere milioni in sistemi di sicurezza, ma se i dipendenti non vengono adeguatamente formati a riconoscere rischi e pericoli del web, se non sono consapevoli e non ricevono policy di sicurezza da seguire è assai probabile che, prima o poi, finiranno bersaglio di qualche scafato cyber attaccante. Il messaggio principale è e deve essere “non fidarti mai di nulla e di nessuno”.
E poi c’è il modello zero-trust. Il principio dello Zero Trust è piuttosto semplice: meno informazioni, meno privilegi. Non è questione di sfiducia verso i dipendenti o collaboratori aziendali, è una necessità conseguente al dover essere pronti a tutto in caso di attacco. E’ un modello, questo, che porta un ribaltamento della concezione classica: non si cerca più di creare una rete affidabile, al contrario si elimina completamente il concetto di fiducia.
Ognuno cioè dovrebbe disporre solo ed esclusivamente delle autorizzazioni e privilegi necessari per accedere, tra tutte, solo alle risorse aziendali che gli sono necessarie per lo svolgimento delle proprie mansioni. Tenendo a mente un punto centrale: ormai non c’è più alcuna distinzione tra il dentro e il fuori l’azienda: il perimetro aziendale da difendere non è più costretto entro le quattro pareti della sede, ma si estende fino a ricomprendere dipendenti, collaboratori e persino fornitori (gli attacchi supply chain sono ormai un concretissimo pericolo) che accedono da remoto alle risorse aziendali.
Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
