[16/09/2022] El gigante de los viajes en auto Uber ha confirmado que está respondiendo a un incidente de ciberseguridad, a medida que surgen informes de que la firma ha sufrido una importante violación de datos de la red que le ha obligado a cerrar varios sistemas internos de comunicación e ingeniería.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
El atacante anuncia la violación de Uber a través de una cuenta de Slack comprometida
En un comunicado en Twitter, Uber escribió "Actualmente estamos respondiendo a un incidente de ciberseguridad. Estamos en contacto con las fuerzas de seguridad y publicaremos actualizaciones adicionales aquí a medida que estén disponibles". Aunque los detalles de la compañía eran escasos en el momento de escribir este artículo, un informe del New York Times afirmaba el jueves que un hacker fue capaz de comprometer la cuenta de Slack de un empleado, y la utilizó para enviar un mensaje a los empleados de Uber anunciando que la compañía había sufrido una violación de datos.
El informe, que citaba a un portavoz de Uber, también afirmaba que el hacker publicó: "Anuncio que soy un hacker y que Uber ha sufrido una violación de datos", antes de enumerar varias bases de datos internas que aparentemente estaban comprometidas. La persona que se responsabiliza del hackeo dijo al New York Times que había enviado un mensaje de texto a un empleado de Uber diciendo que era un informático de la empresa, convenciéndole de que le entregara una contraseña que le permitiera acceder a los sistemas de Uber.
Según un tweet del investigador de seguridad y cazador de bugs Sam Curry, un empleado anónimo de Uber declaró: "En Uber, recibimos un correo electrónico "URGENTE" de la seguridad de TI diciendo que dejáramos de usar Slack. Ahora, cada vez que solicito un sitio web, me lleva a una página REDACTED con una imagen pornográfica y el mensaje "F*** you wankers".
En declaraciones a CSO, Jake Moore, asesor global de ciberseguridad de ESET, señaló: "El uso de un simple hack de ingeniería social a través de SMS para hackear sus sistemas, deja a Uber no solo con la vergüenza, sino con preguntas sobre cuántos datos fueron tan fácilmente accesibles detrás de un simple compromiso. Nunca hay que subestimar a los atacantes y los destinatarios deben permanecer atentos a este tipo de ataques. Por lo tanto, los datos personales deben estar detrás de seguridades mucho más estrictas y deben protegerse lo mejor posible, no solo de las amenazas internas sino también de los atacantes implacables que buscan al personal vulnerable".
Andy Swift, director técnico de seguridad ofensiva de Six Degrees, añadió que los sistemas internos son la parte blanda de las organizaciones, y el incidente de Uber no hace más que demostrar que incluso la más simplista de las técnicas, si se hace correctamente, puede desbaratar toda una infraestructura con relativa facilidad. "Por eso, cosas como el concepto de mínimo privilegio y el enfoque en mantener y reducir las superficies de ataque internas con una visión holística, son tan importantes y están recibiendo una gran atención en este momento. Intentar que las empresas piensen menos en la seguridad de los sistemas individuales en casillas, y tengan una visión más holística integrada en sus programas de pruebas de seguridad mediante el uso de compromisos de equipos rojos/púrpuras puede ayudar realmente a señalar las áreas de debilidad contra la organización en su conjunto. Como hemos visto aquí, mirarlo desde esta perspectiva es importante para entender el punto de vista de un atacante, y las pruebas continuas -combinadas con una mejora estratégica y planificada basada en los resultados- son vitales".
CSO seguirá esta historia y la actualizará a medida que se conozcan más detalles.
Basado en el artículo de Michael Hill (CSO) y editado por CIO Perú