उबेर हैक न केवल एक प्रतिष्ठित क्षति बल्कि बुनियादी सुरक्षा खामियों का खुलासा करता है

साइबर-सुरक्षा शोधकर्ताओं ने खुलासा किया है कि उबर के सुरक्षा गेटवे में बुनियादी खामियां थीं क्योंकि सोशल इंजीनियरिंग को प्रारंभिक हमले वेक्टर के रूप में नियोजित किया गया था, जिससे हैक "कई स्तरों पर विफलता का एक उत्कृष्ट मामला" बन गया।

सोशल इंजीनियरिंग में फ़िशिंग, प्रीटेक्स्टिंग और बैटिंग जैसी ऑनलाइन मानव बातचीत के माध्यम से दुर्भावनापूर्ण गतिविधियों का एक व्यापक स्पेक्ट्रम शामिल है।

एआई के अनुसार, इस हैक का उबेर पर जबरदस्त प्रभाव पड़ा, जो एप्लिकेशन कोड की अस्पष्टता से शुरू हुआ, एप्लिकेशन की उपयोगिता में बाधा, लीक हुई साख, और एक्सेस जो कई खाता अधिग्रहण और इकाई की संवेदनशील और महत्वपूर्ण जानकारी को लीक करने की सुविधा प्रदान कर सकता था। -संचालित साइबर-सुरक्षा फर्म CloudSEK।

फर्म के शोधकर्ताओं ने जोर देकर कहा, "दुर्भावनापूर्ण अभिनेताओं को परिष्कृत रैंसमवेयर हमलों को लॉन्च करने, डेटा को बाहर निकालने और दृढ़ता बनाए रखने के लिए आवश्यक विवरणों से लैस करना, उबेर के लिए प्रतिष्ठित क्षति का उल्लेख नहीं करना।"सवारी करने वाली प्रमुख उबर ने पिछले हफ्ते अपने आंतरिक सिस्टम पर साइबर हमले के लिए कुख्यात लैप्सस $ हैकिंग समूह को दोषी ठहराया। कंपनी ने दोहराया कि उल्लंघन के दौरान किसी भी ग्राहक या उपयोगकर्ता डेटा से समझौता नहीं किया गया था।

"उबेर हैक कई स्तरों पर विफलता का एक उत्कृष्ट मामला है जहां विशेषाधिकार या विशेषाधिकार कुप्रबंधन एक महत्वपूर्ण भूमिका निभाता है। विशेषाधिकार वृद्धि पथ को समाप्त करना या खातों में पहुंच परिवर्तनों की निगरानी डार्कवेब और सतह वेब निगरानी के अलावा शमन के प्रारंभिक उत्तर हो सकते हैं, क्लाउडसेक के साइबर थ्रेट रिसर्चर अभिनव पांडे ने कहा। उबेर से जुड़ी भेद्यता रिपोर्ट तक पहुंचने के लिए धमकी देने वाला अभिनेता एक कर्मचारी के HackerOne खाते से समझौता करने में सक्षम था।दावों की वैधता प्रदर्शित करने के लिए, अभिनेता ने कंपनी के HackerOne पेज पर अनधिकृत संदेश पोस्ट किए।

साइबर सुरक्षा शोधकर्ताओं ने कहा, "इसके अलावा, हमलावर ने उबर के आंतरिक वातावरण के कई स्क्रीनशॉट भी साझा किए हैं, जिसमें उनके जीड्राइव, वीसेंटर, बिक्री मेट्रिक्स, स्लैक और ईडीआर पोर्टल शामिल हैं।"

अभिनेता ने उबेर के बुनियादी ढांचे से समझौता करने के लिए प्रारंभिक हमले वेक्टर के रूप में सोशल इंजीनियरिंग तकनीकों का प्रयोग किया। कई क्रेडेंशियल्स तक पहुंच प्राप्त करने के बाद, अभिनेता ने समझौता पीड़ित के वीपीएन एक्सेस का फायदा उठाया।

इसके बाद, अभिनेता ने एक आंतरिक नेटवर्क (इंट्रानेट) तक पहुंच प्राप्त की, जहां अभिनेता को "शेयर" नाम के साथ एक निर्देशिका तक पहुंच प्राप्त हुई, जिसने अभिनेता को कई पावरशेल स्क्रिप्ट प्रदान की, जिसमें विशेषाधिकार प्राप्त एक्सेस प्रबंधन प्रणाली के लिए व्यवस्थापक क्रेडेंशियल शामिल थे ( थाइकोटिक)।

शोधकर्ताओं ने बताया, "इसने अभिनेता को उबर की डुओ, वनलॉगिन, एडब्ल्यूएस, जीसुइट वर्कस्पेस इत्यादि जैसी इकाई की कई सेवाओं तक पूर्ण पहुंच प्रदान की।"लैप्सस$ आम तौर पर प्रौद्योगिकी कंपनियों को लक्षित करने के लिए समान तकनीकों का उपयोग करता है, और इस वर्ष माइक्रोसॉफ्ट, सिस्को, सैमसंग, एनवीडिया और ओक्टा, और अन्य का उल्लंघन किया।