¿Cómo sucedió la violación de datos de Uber que impactó a 57 millones de usuarios y cómo prevenirque le suceda a tu negocio?
El año 2017 ha sido en el que ha habido mayor violación de datos en los sectores de negocios y alrededor de todo el mundo de acuerdo a los expertos de seguridad informática de Webimprints. Uno de los más recientes incluye a la compañía Uber, que pagó $100,000 USD a hackers para ayudar a cubrir la pérdida de datos de más de 50 millones de usuarios. ¿Cómo se pudo haber prevenido esta falla?
¿Cómo sucedió el hackeo de Uber?
Uber admitió públicamente haber sufrido un incidente con la seguridad en la información en su blog en día 21 de Noviembre del 2017, Bloomberg primeramente publico noticias del hackeo, y anunció que dos hackers accesaron a a los códigos GitHub utilizados por Uber y encontraron credenciales de acceso para la cuenta Uber’s Amazon Web Services (AWS). Los desarrolladores de Uber publicaron un código GitHub que incluía credenciales para la empresa de Uber. Las credenciales le permitieron a los hackers accesos privilegiados de la cuenta a la red de Uber. Los hackers pudieron bajar la información de los usuarios directamente del AWS, y posteriormente pedir el pago de rescate a Uber. Uber pagó $100,000 en Bitcoin a través de HackerOne, un sitio de bug bounty menciona Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS). Uber después pudo identificar al hacker mediante el proceso de pago a través de HackerOne para después lograr que firmaran un acuerdo de confidencialidad. El hacker firmó un NDA y un consentimiento para destruir la información robada. El ataque se hizo público la semana pasada, después de más de un año de que sucedió.
¿Qué información se perdió en este ataque?
Se incluía información personal de 57 millones de usuarios de alrededor del mundo, según el blog publicado acerca del incidente. También incluía números de licencia de 600,000 conductores de Uber en los Estados Unidos.Uber anunció que información más delicada como localización, números de tarjetas de crédito, números del banco, o seguros sociales y fechas de nacimiento no estuvieron comprometidas.
Uber encubrió el hackeo de la información de lo usuarios.
El actual CEO y co-fundador de UberTravisKalanick, supo de la filtración de información en Noviembre 2016, un mes después de lo ocurrido. Sin embargo, él y su equipo decidieron no informar acerca de el hackeo, realizando los pagos mediante el sitio de bug bounty y actuando como si las fallas fueran parte del sistema. El nuevo CEO de Uber, Dara Khosrowshahi, supo de la falla en septiembre 2017, dos semanas después de haber tomado su cargo e inmediatamente ordenó una investigación exhaustiva. Después de que la filtración de información se hizo pública, despidió a su jefe de seguridad y uno de sus encargados por haber ayudado a encubrir el ataque. Joe Sullivan el sobresaliente CSO fue el responsable de separar los asuntos de confidencialidad de la información y del manejo de la información del consumidor. Una reciente investigación de la misma empresa hacia sus operaciones descubrió el ataque y su caso omiso a comunicarlo.
Una de las cosas que la nueva CEO,Khosrowshahi, hizo bien después de enterarse del ataque, fue contratar ayuda de terceros para el tema legal. MattOlsen, abogado del departamento jurídico del National Security Agency, reorganizará al equipo de seguridad de la empresa, mientras dirigen una investigación independiente acerca de la mencionada violación de datos.
La paga de Uber hacia los atacantes, ha tenido diversas opiniones de los expertos. El experto en seguridad Brain Krebs, la comparó a un pago por ransomware. Otros elogiaron a la compañía por haber pagado para proteger la información de sus clientes. Lo peor del caso ha sido la falla en compartir la información de lo sucedido. Debido a esto, Uber incumplió las leyes de divulgación en varios Estados. Además, Uber cubrió las fallas mientras estaban negociando un acuerdo con FTC acerca del manejo de información de sus usuarios, cuando Uber incumplió la divulgación de información en el 2014.
Como resultado, Uber ahora sostiene 3 posibles demandas, al menos 5 investigaciones del procurador del estado y una investigación del FTC. Entidades internacionales están de la mano investigando con la European data protectionauthorities a partir de noviembre. El congreso se ve igualmente involucrado pues ha llamado a los líderes de la empresa Uber a hacer declaraciones. Se levantó un ticket el 30 de Noviembre por la Data Security and BreachNotificationAct, en el que se ordena que las empresas deben reportar las brechas o violaciones a su seguridad en un rango de 30 días, y condenando a 5 años de prisión a quienes escondan mencionadas fallas.
Uber se encuentra actualmente en un proceso de evaluación para incrementar su inversión mediante SoftBank, pero con los planes de que la noticia se haga pública para el 2018, se prevé un impacto negativo en la evaluación de la compañía.
5 tácticas de defensa para prevenir hackeos como el de Uber
Varias tácticas de defensa hubieran sido efectivas para proveer la perdida de información que tuvo Uber:
- Autenticación Multifactor. los hackers de Uber tuvieron sus accesos tanto a GitHub como a AWS inmediatamente, No fue dicho como fue que pudieron accesar, pero las credenciales legitimas de Uber con las que se tiene acceso se ven comprometidas. Al implementar autenticación multi-factor, reviene que un hacker obtenga acceso a los sistemas específicos, aun cuando se comprometan credenciales legítimas. Un time-basedsofttoken, hardtoken, SMS (mensajes de texto) o card-basedtoken son maneras efectivas de asegurar los ingresos y puede ayudar a proveer posibles ataques en sistemas vulnerables.
- Menor privilegio. Los hackers usaron credenciales de un administrador encontradas en GitHub para acceder al AWS de Uber y filtrar millones de récords de información vulnerable. Una de las estrategias para prevenir este tipo de filtración es restringir los privilegios para los usuarios y administradores de la cuenta. Implementando éste principio, el administrador no tendrá derechos a la información vulnerable dentro de AWS y accesará mediante GitHub. Teniendo este tipo de restricciones, el impacto de una pérdida de la cuenta será mínimo.
- Evaluación del peligro. Otra de las maneras sería que mediante ciberseguridad, realizar análisis de seguridad informáticamencionó Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS). Las compañías pueden revisar sus bienes y sus riesgos para determinar las áreas en las que se necesita mayor control de seguridad. Para Uber esta podría ser los accesos para GitHub y AWS y los depósitos de información vulnerable dentro de AWS, ambos en los que se vería beneficiado por las medidas de acceso controlado.
- Monitoreo de seguridad mediante la nube. Uber no sabía de la filtración de datos si no hasta que el hacker los contactó vía e-mail para pedir el rescate..Servicios de Nube, especialmente aquellos que contengan información vulnerable. Si dicho monitoreo estuviera al alcance, Uber hubiera detectado el acceso y la filtración de la información de su red.
- Controles de seguridad. Basarse en los riesgos es la manera más efectiva para que las compañías aumenten su inverso en la seguridad informática mencionó Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS). Realizando una valoración para determinar las áreas de riesgo, los negocios pueden apartar una inversión y esfuerzo a los controles de seguridad que proveerán una reducción considerable en los mencionados riesgos. NIST, CIS/SANS 20 o ISO 27001proveen controles efectivos que pueden ser utilizados en este proceso.
Conclusión
A Uber le hizo falta controles de seguridad fundamentales que pudieron haber prevenido la pérdida de 57 millones de récords de información de sus usuarios explica Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS). Accesos remotos y cuentas privilegiadas son dos de los mayores objetivos para los hackers así como vectores de amenaza que necesiten un mayor control de seguridad, Mientras que el pago de Uber a los hackers ayudó a evitar que la información de sus usuarios fuera conocida, su falla en dar a conocer el ataque durante casi un año tendrá repercusiones legales, financieras y en la reputación de la compañía.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad