Layanan ride-hailing Uber mengatakan pada hari Jumat bahwa semua layanannya beroperasi mengikuti apa yang oleh para profesional keamanan disebut sebagai pelanggaran data besar, mengklaim tidak ada bukti bahwa peretas mendapatkan akses ke data pengguna yang sensitif.
Namun pelanggaran, yang tampaknya dilakukan oleh seorang peretas tunggal, menyoroti rutinitas pembobolan yang semakin efektif yang melibatkan rekayasa sosial: Peretas tersebut tampaknya memperoleh akses dengan menyamar sebagai kolega, menipu seorang karyawan Uber untuk menyerahkan kredensial mereka.
Mereka kemudian dapat menemukan kata sandi di jaringan yang memberi mereka tingkat akses istimewa yang disediakan untuk administrator sistem.
Potensi kerusakannya serius: Tangkapan layar yang dibagikan peretas dengan peneliti keamanan menunjukkan bahwa mereka memperoleh akses penuh ke sistem berbasis cloud tempat Uber menyimpan data pelanggan dan keuangan yang sensitif.
Tidak diketahui berapa banyak data yang dicuri peretas atau berapa lama mereka berada di dalam jaringan Uber. Dua peneliti yang berkomunikasi langsung dengan orang tersebut – yang mengidentifikasi diri sebagai seorang berusia 18 tahun ke salah satu dari mereka – mengatakan mereka tampak tertarik pada publisitas. Tidak ada indikasi mereka menghancurkan data.
Tetapi file yang dibagikan dengan para peneliti dan diposting secara luas di Twitter dan media sosial lainnya menunjukkan bahwa peretas dapat mengakses sistem internal Uber yang paling penting.
“Sangat buruk akses yang dia miliki. Mengerikan,” kata Corben Leo, salah satu peneliti yang mengobrol dengan peretas secara online.
Reaksi online komunitas keamanan siber — Uber juga mengalami pelanggaran serius tahun 2016 — sangat keras.
Peretasan “tidak canggih atau rumit dan jelas bergantung pada beberapa budaya keamanan sistemik besar dan kegagalan teknik,” tweet Lesley Carhart, direktur respons insiden Dragos Inc., yang berspesialisasi dalam sistem kontrol industri.
Leo mengatakan tangkapan layar yang dibagikan peretas menunjukkan penyusup mendapat akses ke sistem yang disimpan di Amazon dan server berbasis cloud Google tempat Uber menyimpan kode sumber, data keuangan, dan data pelanggan seperti SIM.
“Jika dia memiliki kunci kerajaan, dia bisa mulai menghentikan layanan. Dia bisa menghapus barang. Dia bisa mengunduh data pelanggan, mengubah kata sandi orang,” kata Leo, peneliti dan kepala pengembangan bisnis di perusahaan keamanan Zellic.
Tangkapan layar yang dibagikan peretas — banyak di antaranya ditemukan secara online — menunjukkan data keuangan sensitif dan basis data internal yang diakses. Juga beredar luas secara online: Peretas mengumumkan pelanggaran pada hari Kamis pada sistem kolaborasi internal Slack Uber.
Leo, bersama dengan Sam Curry, seorang insinyur di Yuga Labs yang juga berkomunikasi dengan peretas, mengatakan tidak ada indikasi bahwa peretas telah melakukan kerusakan atau tertarik pada apa pun selain publisitas.
“Cukup jelas dia seorang hacker muda karena dia menginginkan 99% dari apa yang diinginkan hacker muda, yaitu ketenaran,” kata Leo.
Curry mengatakan dia berbicara dengan beberapa karyawan Uber pada hari Kamis yang mengatakan bahwa mereka “bekerja untuk mengunci semuanya secara internal” untuk membatasi akses peretas. Itu termasuk jaringan Slack perusahaan San Francisco, katanya.
Dalam sebuah pernyataan yang diposting online Jumat, Uber mengatakan “alat perangkat lunak internal yang kami hapus sebagai tindakan pencegahan kemarin akan kembali online.”
Dikatakan semua layanannya – termasuk Uber Eats dan Uber Freight – beroperasi dan telah memberi tahu penegak hukum. FBI mengatakan melalui email bahwa mereka “mengetahui insiden cyber yang melibatkan Uber, dan bantuan kami kepada perusahaan sedang berlangsung.”
Uber mengatakan tidak ada bukti bahwa penyusup mengakses “data pengguna yang sensitif” seperti riwayat perjalanan tetapi tidak menanggapi pertanyaan dari The Associated Press termasuk tentang apakah data disimpan terenkripsi.
Curry dan Leo mengatakan peretas tidak menunjukkan berapa banyak data yang disalin. Uber tidak merekomendasikan tindakan spesifik apa pun untuk penggunanya, seperti mengubah kata sandi.
Peretas memperingatkan para peneliti tentang gangguan tersebut pada hari Kamis dengan menggunakan akun Uber internal di jaringan perusahaan yang digunakan untuk memposting kerentanan yang diidentifikasi melalui program bug-bounty, yang membayar peretas etis untuk menemukan kelemahan jaringan.
Setelah mengomentari postingan tersebut, peretas memberikan alamat akun Telegram. Curry dan peneliti lain kemudian melibatkan mereka dalam percakapan terpisah, di mana penyusup memberikan tangkapan layar sebagai bukti.
AP berusaha menghubungi peretas di akun Telegram, tetapi tidak mendapat tanggapan.
Tangkapan layar yang diposting online muncul untuk mengkonfirmasi apa yang menurut para peneliti diklaim oleh peretas: Bahwa mereka memperoleh akses istimewa ke sistem paling penting Uber melalui rekayasa sosial.
Skenario yang terlihat:
Peretas pertama kali mendapatkan kata sandi karyawan Uber, kemungkinan melalui phishing. Peretas kemudian membombardir karyawan tersebut dengan pemberitahuan push yang meminta mereka mengonfirmasi login jarak jauh ke akun mereka. Ketika karyawan tidak merespons, peretas menghubungi melalui WhatsApp, menyamar sebagai rekan kerja dari departemen TI dan menyatakan urgensi. Pada akhirnya, karyawan itu menyerah dan mengkonfirmasi dengan klik mouse.
Rekayasa sosial adalah strategi peretasan yang populer, karena manusia cenderung menjadi tautan terlemah di jaringan mana pun. Remaja menggunakannya pada tahun 2020 untuk meretas Twitter dan baru-baru ini digunakan dalam peretasan perusahaan teknologi Twilio dan Cloudflare, kata Rachel Torac, CEO SocialProof Security, yang berspesialisasi dalam melatih pekerja agar tidak menjadi korban rekayasa sosial.
“Kenyataan yang sulit adalah bahwa sebagian besar organisasi di dunia dapat diretas dengan cara yang sama persis seperti yang dilakukan Uber,” cuit Toac. Dalam sebuah wawancara, dia berkata “bahkan orang yang sangat paham teknologi jatuh pada metode rekayasa sosial setiap hari.”
“Penyerang menjadi lebih baik dalam melewati atau membajak MFA (otentikasi multi-faktor),” kata Ryan Sherstobitoff, analis ancaman senior di SecurityScorecard.
Itulah sebabnya banyak profesional keamanan menganjurkan penggunaan apa yang disebut kunci keamanan fisik FIDO untuk otentikasi pengguna. Namun, adopsi perangkat keras semacam itu masih belum terselesaikan di antara perusahaan teknologi.
Peretasan itu juga menyoroti perlunya pemantauan waktu nyata dalam sistem berbasis cloud untuk mendeteksi penyusup dengan lebih baik, kata Tom Kellermann dari Contrast Security. “Lebih banyak perhatian harus diberikan untuk melindungi awan dari dalam” karena satu kunci utama biasanya dapat membuka semua pintu mereka.
Beberapa ahli mempertanyakan seberapa banyak peningkatan keamanan siber di Uber sejak diretas pada 2016.
Mantan kepala petugas keamanannya, Joseph Sullivan, saat ini diadili karena diduga mengatur untuk membayar peretas $ 100.000 untuk menutupi pencurian teknologi tinggi itu, ketika informasi pribadi sekitar 57 juta pelanggan dan pengemudi dicuri.
related post : NASA memperbaiki kebocoran roket bulan, berharap untuk percobaan peluncuran September