Uber: aanvaller kwam binnen via wachtwoord contractor en "MFA fatigue"
De aanvaller die wist in te breken op systemen van taxi-app Uber maakte gebruik van het wachtwoord van een contractor en een tactiek die "MFA fatigue" wordt genoemd. Dat heeft het bedrijf vanavond bekendgemaakt. Vorige week werd bekend dat Uber slachtoffer van een aanval was geworden, waarbij allerlei systemen werden gecompromitteerd. Het zou onder andere gaan om de Amazon Web Services-console, VMware ESXi virtual machines, Google Workspace beheerdersdashboard, respositories met broncode, Slack-server en HackerOne-account.
Uber maakt gebruik van allerlei externe partijen en personen. Het persoonlijke systeem van één van deze personen was besmet geraakt met malware, waardoor de inloggegevens om toegang te krijgen tot interne Uber-systemen konden worden gestolen. Uber maakt echter gebruik van multifactorauthenticatie (MFA) waarbij personen die op het netwerk willen inloggen een verzoek op hun telefoon moeten bevestigen. Een aanvaller heeft hierdoor niet voldoende aan alleen inloggegevens om toegang te krijgen.
Aanvallers maken echter gebruik van een tactiek die "MFA fatigue" wordt genoemd. Elke keer dat de aanvaller inlogt met de gestolen inloggegevens krijgt de eigenaar van deze inloggegevens een melding op zijn telefoon of hij de inlogpoging wil goedkeuren. De aanvaller blijft net zolang inloggen totdat de medewerker in kwestie één van de inlogpogingen goedkeurt, waarna de aanvaller toegang krijgt. Een tactiek die ook succesvol bij een inbraak op het netwerk van Cisco werd toegepast.
Vervolgens wist de aanvaller toegang tot de accounts van verschillende andere medewerkers te krijgen, hoewel Uber niet uitlegt hoe dit precies in zijn werk ging. Uiteindelijk wist de aanvaller zo zijn rechten te verhogen en toegang tot verschillende tools te krijgen, waaronder G-Suite en Slack. De aanvaller plaatste ook een bericht op het Slack-kanaal van Uber en wijzigde de OpenDNS-instellingen, waardoor medewerkers bij sommige interne websites obscene afbeeldingen te zien kregen.
Naar aanleiding van de aanval besloot Uber van de gecompromitteerde accounts het wachtwoord te resetten, de broncode te vergrendelen om aanpassingen te voorkomen en werden getroffen interne tools uitgeschakeld. Bij het weer online brengen van de tools moesten werknemers zich opnieuw authenticeren. Daarnaast gaat Uber het MFA-beleid aanpassen en is er aanvullende monitoring toegevoegd.
Volgens het bedrijf is de aanval uitgevoerd door een aanvaller die aan de Lapsus$-groep is gelieerd. Deze groep voerde eerder succesvol aanvallen uit tegen Microsoft, Samsung, Nvidia en Okta. Om toegang tot de netwerken van slachtoffers te krijgen schaft de groep vermoedelijk gestolen inloggegevens en sessiecookies aan. Ook in dit geval vermoedt Uber dat de gestolen inloggegevens van de contractor op internet te koop werden aangeboden. Hoe het systeem van de contractor besmet raakte is niet bekendgemaakt.
Kleine opmerking: het is 'fatigue', i.p.v. 'fatique'.
Het blijkt dat veel mensen bij elke cookie-banner klakkeloos op "Ja" drukken zonder te weten waar ze akkoord voor geven.
Vervolgens heeft het bedrijf in kwestie toegang tot allerlei gegevens van de gebruiker.
Goed dat JIJ dat snapt .
Ga nu eens met normale mensen praten en vraag wat ze denken als ze een paar die authenticator popup krijgen.
Denk je nu echt dat het "normaal" is dat iedereen die relatie meteen snapt ?
Of post je alleen om te zeggen hoe slim je bent ?
Als het klopt wat iemand hierboven aangaf, dat er alleen een simpele ja/nee-reactie gegeven moet worden, dan zit een ongeluk echt in een piepklein hoekje. Iemand kan dan, ontregeld door de zoveelste storing, per ongeluk de verkeerde keuze maken.
Een doodsimpele verbetering aan een dergelijke app zou zijn als hij uitsluitend de 2FA-bevestiging toont als je eerst de app hebt gestart en die hebt verteld dat er nu (bijvoorbeeld binnen 60 seconden) een 2FA-handeling verwacht wordt. Heb je dat als gebruiker niet eerst gedaan dan wordt simpelweg het bericht van de server genegeerd en wordt de 2FA-prompt niet getoond. Daarmee valt het risico op 2FA-fatigue. Ondertussen kan op de server worden gereageerd op een aantal mislukte inlogpogingen door het account te blokkeren.
Ik weet dat er mensen zijn die helemaal afknappen op elke extra handeling en elke handeling die je niet gedachtenloos kan doen (en opvallend veel hoge managers hebben daar last van), maar behalve dat dit voorkomt dat iemand gespamd wordt door 2FA-prompts is dit soort extra handelingen precies wat een gebruiker dwingt om inloggen met net wat meer zorgvuldigheid te doen, en ook dat is goed voor de beveiliging. Maximale moeiteloosheid is niet altijd goed.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
