Про взлом Uber
На днях получил такое сообщение в одном из своих тикетов на Hackerone, который я отправлял 5 лет назад в баг-баунти программу Uber:
UBER HAS BEEN HACKED (domain admin, aws admin, vsphere admin, gsuite SA) AND THIS HACKERONE ACCOUNT HAS BEEN ALSO
my telegram: <...>
Некий хакер взломал Uber и их внутренние системы, и разослал это сообщение во все репорты в их Bug Bounty программе.
Он указал в нем свой телеграм-контакт, поэтому с ним сразу связались, и он охотно отвечал на вопросы.
Как происходил взлом, со слов самого хакера:
1) он засоциалил сотрудника Uber и получил доступ в VPN
2) просканил сеть и нашел сетевую шару, на которой лежали Powershell-скрипты
3) в одном из скриптов нашелся захардкоженный админский логин и пароль к системе управления доступами Thycotic
4) через эту систему он получил креденшелы к контроллеру домена, Duo, OneLogin, AWS, Gsuite, админке Slack - ко всем критическим системам компании, и, потенциально, ко всем их данным.
5) дальше он разослал сообщения во все репорты в Hackerone и сотрудникам в Slack
Что в этой истории примечательного.
1. Сама атака очень простая и "глупая"
Как именно был получен доступ к VPN - до конца неясно. На одном из скриншотов хакер признается, что спамил одного из сотрудников пуш-запросами "подтверди доступ с нового устройства", и затем написал ему в Whatsapp, притворившись техподдержкой, и попросил пуш-запрос подтвердить.
Но непонятно, был ли это единственный фактор, необходимый для доступа (в таком случае это явная уязвимость), или же это был второй фактор, а первый был украден как-то еще.
Впрочем, если смотреть с точки зрения защиты от этой атаки, то это не так важно. Потому что когда в компании работают тысячи (в случае Uber - десятки тысяч) сотрудников, то доступ в VPN вообще нельзя считать сколь-либо надежным рубежом защиты. Просто потому, что вероятность того, что в каждый конкретный момент времени у кого-то из сотрудников на компьютере есть малварь - близка к 100%.
2. Защититься от таких атак сложно
Можно проследить цепочку атаки дальше, от большинства проблем защититься если и можно, то либо не очень надежным способом, либо же надежное решение проблемы будет стоять достаточно высоко в пирамиде хотелок безопасников, и традиционно не считается "must have" необходимостью
3. Мотивация хакера непонятна
Кажется, что он ничего не получил, кроме веселья и внимания. Пишут, что хакеру 18 лет.
Это достаточно необычно. Гораздо чаще такие хакеры:
- либо являются преступниками и пытаются украсть данные и заработать преступным путем. И не пишут публично о взломе. А у Uber явно было, что красть.
- либо, если у компании есть работающая баг баунти программа (у Uber она есть) - хакер может принести такой репорт туда и получить свои $20-50тыс вознаграждения
4. Следствие из 3 предыдущих пунктов - нам всем сильно "повезло", что эта история стала публичной
Если грубо, то на каждого такого шутника, пробившего периметр и получившего доступ ко всем данным Uber-а, будет 5 багхантеров, сделавших то же самое, и не отказавшихся от вознаграждения, и 5 преступников, которые выкачают молча все что смогут, и про которых никто не узнает. Иными словами: взломать легко, защититься от такого взлома сложно, кто еще украл наши данные - неизвестно. И даже хорошая security-программа в мирового уровня компании не дает никаких гарантий
5. Поднятая шумиха и количество слитых внутренних скриншотов с подтверждениями взлома уже не позволит Уберу отмазаться и сделать вид, что ничего не было. Что будет дальше - сильно зависит от того, какие данные хакер успел слить.
Вполне вероятно, что данные пользователей конкретно сейчас не пострадали. Тогда Убер может сказать, что "подтверждений утечки данных нет". Могут вызвать кого-то из топов в конгресс и попросить повторить это под присягой. И вся история закончится плюс-минус ничем.
Если же хакер слил, например, данные платежных карт, и по какой-то причине Убер это признает - банки могут начать блокировать привязанные к уберу карты, тогда пострадает выручка и доля Убера на конкурентных рынках. Но такой сценарий скорее маловероятен.
Будем наблюдать
