Il data breach di Uber spiegato punto per punto

no credit

AGI - "Attualmente stiamo rispondendo a un incidente di sicurezza informatica. Siamo in contatto con le forze dell'ordine e pubblicheremo ulteriori aggiornamenti qui non appena saranno disponibili". Così in un tweet giovedì sera, firmato Uber, piattaforma informatica statunitense che offre servizi privati di trasporto pubblico.

Poi un aggiornamento venerdì pomeriggio in cui la società ha dichiarato che "non c'erano prove che l'incidente implicasse l'accesso a dati sensibili degli utenti" come la cronologia delle corse dei passeggeri. "Gli strumenti software interni che abbiamo rimosso per precauzione ieri stanno tornando online questa mattina" ha fatto sapere sempre Uber venerdì. "Tutti i nostri servizi, inclusi Uber, Uber Eats, Uber Freight e l'app Uber Driver, sono operativi".

Questi gli aggiornamenti del data breach subìto da Uber. La violazione è stata scoperta giovedì pomeriggio e ha costretto la compagnia a mettere offline molti dei suoi sistemi di comunicazione e ingegneria interni mentre indagava sull'entità dell'attacco. Giovedì a Wall Street Uber ha perso il 3,65%.

"Hanno avuto praticamente pieno accesso", ha dichiarato giovedì al New York Times Sam Curry, un ingegnere della sicurezza della società. Ai propri dipendenti Uber ha chiesto di non utilizzare il servizio di messaggistica interna Slack, e poi s'è scoperto che altri sistemi interni erano inaccessibili. Poco prima che il sistema Slack venisse disconnesso, sempre giovedì pomeriggio, i dipendenti di Uber hanno ricevuto questo messaggio: "Annuncio di essere un hacker e Uber ha subito una violazione dei dati".

Il messaggio continuava elencando diversi database interni che l'hacker sosteneva fossero stati compromessi. Il messaggio continuava elencando diversi database interni che l'hacker sosteneva fossero stati compromessi.

Nel ricostruire l'accaduto, il quotidiano ha accertato che la persona che ha rivendicato la responsabilità dell'hacking aveva inviato un messaggio di testo a un lavoratore di Uber affermando di essere un esperto di tecnologia dell'informazione aziendale e convincendolo a rendersi disponibile a consegnare una password, che poi gli ha consentito di accedere ai sistemi interni.

Le altre violazioni

Non è la prima volta che Uber affronta una violazione della sicurezza. Nel 2014 una prima violazione, che, si è scoperto, ha colpito gli account di 100 mila conducenti. Nel 2016 quella più rilevante: hacker hanno rubato informazioni da 57 milioni di account di conducenti. Uber ha pagato agli hacker 100 mila dollari per sbarazzarsi dei dati e ha tenuto nascosta la notizia della violazione per più di un anno.

Nel 2018 la società ha ammesso di non aver denunciato l'attacco alla Federal Trade Commission degli Stati Uniti e ha patteggiato una multa di 148 milioni di dollari (circa 125 milioni di euro) per porre fine al procedimento investigativo nei suoi confronti.

Le fasi dell'attacco

Un diciottenne, in solitaria, ha trovato il modo di penetrare all'interno della rete aziendale di Uber. "Ci è riuscito con un attacco di social engineering nei confronti di un dipendente aziendale, specificando di avergli inondato il cellulare di notifiche push per confermare l'autenticazione a due fattori", ha spiegato Yoroi, società di cybersicurezza, che ha ricostruito in questo modo la timeline dell'attacco.

L'accesso alle credenziali

Avendo avuto accesso a una rete privata aziendale, una VPN, l'attaccante è stato in grado di effettuare la ricerca di preziose informazioni. "Una di queste era una risorsa di rete dove era caricato uno script powershell con delle credenziali in chiaro, usate poi dall'hacker per compromettere gli access token di una serie di servizi usati dall'azienda tra i quali AWS, Google, SentinelOne, VMware".

Per Marco Ramilli, Ceo di Yoroi, "è fondamentale educare tutti i propri dipendenti alla sicurezza informatica, applicare le regole minime di igiene cibernetica come la protezione delle password, adottare l'autenticazione a due fattori ed evitare interazioni pubbliche da cui è possibile ricavare la propria posizione lavorativa, gusti, interessi, abitudini".

Ed ha aggiunto "Sappiamo che nell'era dei social è difficile, ma esporre i propri dati personali al pubblico non è mai una buona idea, soprattutto se si svolgono compiti delicati. Ricordiamo che anche le persone più accorte possono essere vittime della stanchezza, dell'urgenza e della disattenzione, che sono le leve psicologiche sfruttate da hacker esperti di ingegneria sociale".

La sfida

Successivamente l'hacker, secondo la ricostruzione di Yoroi, "si è divertito a mandare messaggi su Slack alla compagnia dichiarando pubblicamente di averla attaccata. L'account compromesso per effettuare la ricognizione all'interno di Slack è stato quello di Chris Duarte, un manager dell'area sviluppo della compagnia. Non è però ancora chiaro al momento se sia stato lui la vittima dell'attacco iniziale di social engineering". 

Il social engineering, si spiega, o ingegneria sociale, "è un insieme di tecniche di ‘manipolazione psicologica' che sfruttano vari stati d'animo e comportamenti tipici degli esseri umani come l'avidità, la paura, la fiducia o l'altruismo. Usando tali leve psicologiche un criminale  può riuscire a ingannare la vittima di un attacco informatico convincendola a fornire dati finanziari, codici di accesso o informazioni personali in una comunicazione digitale fingendosi un ente affidabile"

La rivelazione dell'hacker

Poi l'hacker ha postato su HackerOne i suoi riferimenti di Telegram in modo da essere contattato. "Questo ci lascia ipotizzare – ha aggiunto Ramilli - che il giovane attaccante non avesse un'intenzione criminale e che probabilmente ha fatto tutto per sfida, pensando di ottenere un ricavo economico dalla disclosure, cioè dalla rivelazione delle vulnerabilità sfruttate per l'intrusione. Pertanto è utile ribadire che gli hacker etici ragionano in un altro modo e che la ricerca e lo sfruttamento delle eventuali falle di un'organizzazione vanno stabilite prima con il bersaglio e in genere sono regolate da complesse formule legali e contrattuali".

(ha collaborato Alberto Ferrigolo)