La autenticación multifactor y su rol en la brecha de seguridad de Uber

Sobre la reciente brecha de seguridad que sufrió Uber, se ha reportado que el ciberactor logró burlar la autenticación multifactor de la cuenta de un contratista externo.

Para acceder a dicha cuenta, el ciberactor trató de autenticarse en múltiples ocasiones; esto provocó que el usuario final recibiera varias solicitudes de autenticación multifactor, aprobó una de ellas y le brindó acceso al ciberactor.

Cabe aclarar que para poder explotar el sistema por medio de la autenticación multifactor, es necesario contar previamente con el usuario y contraseña. Esta parece ser una táctica común de los atacantes en la que bombardean con solicitudes de autenticación multifactor, para que el usuario piense que es un fallo y acepte alguna de ellas.

Después de ganar el acceso inicial, el ciberactor comprometió cuentas de empleados hasta ganar privilegios y acceder a distintos paneles de control. Por medio de capturas de pantallas filtradas, se cree que el ciberactor logró acceder a la cuenta de AWS de Uber, la consola de SentinelOne, el panel de control de VMware vSphere y OpenDNS.

El atacante asegura que encontró credenciales de administrador en un script de Powershell, lo cual le permitió elevar sus privilegios. Sin embargo, hasta el momento Uber no ha comentado algo al respecto.

Como una de las acciones ante el ataque, Uber declaró que ha identificado y bloqueado las cuentas comprometidas o con posible compromiso, deshabilitado las herramientas internas comprometidas, rotado   las llaves de acceso a los servicios en la nube y tomado medidas para robustecer las políticas de autenticación multifactor.

En casos como este podemos identificar qué medidas, como la autenticación multifactor, pudieran no ser suficientes sin la concientización de los usuarios y la configuración de políticas estrictas y bien definidas.

Así mismo, es importante mantener un estricto monitoreo a cuentas que brindan acceso remoto, como los son las VPN, ya que esto nos podría alertar de un posible compromiso en una etapa inicial del ataque.

Referencias:
https://www.uber.com/newsroom/security-update/
https://www.theregister.com/2022/09/19/uber_admits_breach/
https://www.nytimes.com/2022/09/15/technology/uber-hacking-breach.html