Imagem: Sean Gallup/Getty ImageHacking. Desinformação. Vigilância. CYBER é o podcast da Motherboard e relata o lado sombrio da internet.Na quinta-feira, Uber anunciado que estava “respondendo a um incidente de segurança cibernética”. Menos de 24 horas depois, o “incidente” parece ser uma violação de dados catastrófica que expôs domínios de dados corporativos a um hacker que afirma ter 18 anos.
O jornal New York Times primeiro relatou a violação e falou com o hacker, que alegou que ele foi capaz de projetar socialmente um funcionário do Uber para conceder-lhe acesso à sua conta corporativa. O hacker disse à Motherboard que estava atrás de dados do usuário, mas acabou optando por dados corporativos.
Nas horas após o anúncio da violação, mais detalhes sobre ela foram revelados no Twitter. O hacker aparentemente está conversando com de várias cíber segurança especialistas , compartilhando algumas informações sobre como eles invadiram.
O hacker disse que primeiro roubou a senha do funcionário do Uber e depois acionou o Uber para enviar várias notificações push multifator ao funcionário. Essas notificações são essencialmente janelas pop-up que aparecem no dispositivo de um funcionário, solicitando que ele aprove ou negue a tentativa de login.
Inicialmente, o funcionário não autorizou o login, mas o hacker entrou em contato com eles no WhatsApp, disse que era funcionário de TI da Uber e que o funcionário precisava conceder acesso a ele. Depois de uma hora de importunação, o funcionário cedeu, de acordo com uma captura de tela de uma conversa entre o hacker e um especialista em segurança cibernética.
Essa violação mostra que as notificações push como multifatores são falhas.
“Aos meus olhos, as notificações push da 2FA têm um ponto fraco, pois podem se tornar tão irritantes que o alvo acaba aceitando”, disse Rachel Tobac, fundadora da SocialProof Security e especialista em engenharia social, ao Motherboard. “É claro que o 2FA de notificação por push é melhor do que nenhum, obviamente. Mas em certos contextos, pode parecer apenas outro pop-up de spam que os usuários precisam aceitar para fazê-lo desaparecer, isso parece um problema.”
Você trabalha na Uber? Você tem mais informações sobre esse hack? Adoraríamos ouvir de você. De um computador ou smartphone que não seja do trabalho, você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança no Signal em +1 917 257 1382, Wickr/Telegram/Wire @lorenzofb ou e-mail lorenzofb@MediaMente.com
Durante anos, especialistas em segurança cibernética sugeriram que as pessoas deixassem de ter apenas sua senha como método de autenticação. Inicialmente, a autenticação de dois fatores ou multifatores usava mensagens de texto contendo um código exclusivo.
Como sugeriu Tobac, qualquer método para dois fatores é melhor do que nenhum, mas ficou muito fácil para os cibercriminosos explorarem a autenticação de dois fatores por meio de mensagens de texto, interceptando os textos por abusar de falhas em sistemas que constituem a espinha dorsal das redes de telecomunicações , enganando os funcionários dos provedores de telecomunicações desistindo de suas credenciais e, em seguida, aproveitando o acesso a ferramentas internas, ou diretamente subornar os funcionários de telecomunicações em fazer ataques de troca de SIM em nome dos hackers.
Outra alternativa é usar um aplicativo autenticador que forneça códigos exclusivos para entrada como segundo fator. Eles são mais seguros do que mensagens de texto, mas os hackers ainda podem phishing e alvos de engenharia social para que forneçam os códigos.
Idealmente, as organizações, bem como os indivíduos, devem passar a usar tokens de hardware, como YubiKeys ou chaves de segurança Titan como um segundo fator. Isso torna as contas praticamente impossíveis de phishing, pois o usuário precisa de um token físico para entrar. o que salvou recentemente CloudFlare de ser hackeado como Twilio e Okta fizeram nas últimas semanas.
Obviamente, nem todos estão dispostos a comprar e usar uma chave de segurança. Felizmente, existem maneiras de tornar as notificações push um pouco melhores como um segundo fator.
“Sim, há riscos para MFA de notificação por push e, se as organizações estiverem usando MFA com notificações por push, recomendo que ativem a correspondência de números e definam alertas e limites para notificações por push de MFA com spam para funcionários”, disse Tobac. “Todo MFA tem algumas desvantagens, este não é o único tipo com risco, este é apenas o risco que vimos hoje.”
Reportagem adicional de Joseph Cox.
para uma dose regular de nossas reportagens originais, além de conteúdo dos bastidores sobre nossas maiores histórias.