Lapsus$ शायद Uber-Hack के पीछे है

कुछ दिनों पहले खबर आई थी कि उबर एक बड़े हैक का शिकार हो गई है। यहां तक ​​कि संदेह है कि हमलावरों ने बग बाउंटी प्रोग्राम से भेद्यता सूची पर कब्जा कर लिया है। यात्रा सेवा प्रदाता उबर ने अब पुष्टि की है कि हमलावर लैप्सस$ समूह है।

पहले में उबेर हैक पर रिपोर्ट, अभी भी बहुत कुछ स्पष्ट नहीं था. ड्राइविंग सेवा प्रदाता उबेर के अनुसार, अब प्रक्रियाओं का वर्णन किया जा सकता है और सटीक रूप से परिभाषित किया जा सकता है कि कौन सा डेटा चोरी हुआ था। Uber के अनुसार, यहाँ क्या हुआ: “एक हमलावर ने मैलवेयर का उपयोग करके एक Uber EXT ठेकेदार के खाते से छेड़छाड़ की थी और उनकी साख चोरी हो गई थी। संभावना है कि हमलावर ने ठेकेदार की उबर कंपनी का पासवर्ड डार्क वेब पर खरीदा हो। इसके बाद हमलावर ने ठेकेदार के उबर अकाउंट में लॉग इन करने की बार-बार कोशिश की। हर बार, ठेकेदार को दो-कारक लॉगिन अनुमति अनुरोध प्राप्त हुआ, जिसने शुरुआत में पहुंच को अवरुद्ध कर दिया। आखिरकार, हालांकि, ठेकेदार ने एक को स्वीकार कर लिया और हमलावर ने सफलतापूर्वक लॉग इन किया।" इसे क्लासिक एमएफए बमबारी कहा जाता है.

एक बार लॉग इन करने के बाद, हमलावर ने कई अन्य कर्मचारी खातों तक पहुंच बनाई, जिसने अंततः हमलावर को जी-सूट और स्लैक सहित उपकरणों की एक श्रृंखला के लिए उन्नत विशेषाधिकार दिए। इसके बाद हमलावर ने कंपनी-व्यापी स्लैक चैनल को एक संदेश भेजा और कुछ आंतरिक वेबसाइटों पर कर्मचारियों को ग्राफिकल छवि दिखाने के लिए Uber के OpenDNS को फिर से कॉन्फ़िगर किया।

उबेर ने कैसे प्रतिक्रिया दी?

Uber का कहना है, “हमारी मौजूदा सुरक्षा निगरानी प्रक्रियाओं ने हमारी टीमों को समस्या की तुरंत पहचान करने और उस पर प्रतिक्रिया देने में सक्षम बनाया है। हमारी सर्वोच्च प्राथमिकता यह सुनिश्चित करना था कि हमलावर की अब हमारे सिस्टम तक पहुंच न हो; यह सुनिश्चित करने के लिए कि उपयोगकर्ता डेटा सुरक्षित है और Uber सेवाओं से समझौता नहीं किया गया है; और फिर घटना के दायरे और प्रभाव की जांच करने के लिए।"

यहां प्रमुख कार्रवाइयां हैं जो उबेर ने दावा किया है:

• इसने उन सभी कर्मचारी खातों की पहचान की, जिनके साथ छेड़छाड़ की गई थी या संभावित रूप से समझौता किया गया था और या तो उबेर सिस्टम तक उनकी पहुंच को अवरुद्ध कर दिया गया था या पासवर्ड रीसेट करने की आवश्यकता थी।
• कई प्रभावित या संभावित रूप से प्रभावित आंतरिक उपकरण अक्षम कर दिए गए हैं।
• कई आंतरिक सेवाओं की कुंजियों को घुमाया गया है (प्रभावी रूप से पहुंच को रीसेट करना)।
• नए कोड परिवर्तनों को रोकने के लिए कोडबेस को बंद कर दिया गया है।
• आंतरिक उपकरणों तक पहुंच को पुन: स्थापित करने के लिए कर्मचारियों को पुन: प्रमाणित करने की आवश्यकता होती है। इसके अलावा, मल्टी-फैक्टर ऑथेंटिकेशन (एमएफए) के लिए दिशानिर्देशों को मजबूत किया गया है।
• अन्य संदिग्ध गतिविधि पर और भी कड़ी नज़र रखने के लिए आंतरिक वातावरण की अतिरिक्त निगरानी को जोड़ा गया।

क्या प्रभाव पड़ा?

उबेर का कहना है कि उसके पास सब कुछ नियंत्रण में है: "हमलावर ने कई आंतरिक प्रणालियों तक पहुंच बनाई और हमारी जांच यह निर्धारित करने पर केंद्रित थी कि कोई महत्वपूर्ण प्रभाव था या नहीं। जबकि जांच अभी भी जारी है, हमारे पास साझा करने के लिए हमारे वर्तमान निष्कर्षों के कुछ विवरण हैं। सबसे पहले, हमने यह नहीं देखा कि हमलावर ने हमारे ऐप्स चलाने वाले प्रोडक्शन सिस्टम को एक्सेस किया है। सभी उपयोगकर्ता खाते; या वे डेटाबेस जिनका उपयोग हम संवेदनशील उपयोगकर्ता जानकारी संग्रहीत करने के लिए करते हैं, जैसे क्रेडिट कार्ड नंबर, उपयोगकर्ता बैंक खाता जानकारी, या यात्रा इतिहास। हम सुरक्षा की एक और परत प्रदान करते हुए क्रेडिट कार्ड की जानकारी और व्यक्तिगत स्वास्थ्य जानकारी को भी एन्क्रिप्ट करते हैं।

हमने अपने कोड बेस की जांच की और पाया कि हमलावर ने कोई बदलाव नहीं किया है। हमने यह भी निर्धारित नहीं किया कि हमलावर ने हमारे क्लाउड प्रदाताओं (जैसे AWS S3) में संग्रहीत ग्राहक या उपयोगकर्ता डेटा तक पहुँचा है। ऐसा प्रतीत होता है कि हमलावर ने कुछ आंतरिक स्लैक संदेशों को डाउनलोड किया और एक आंतरिक टूल से जानकारी को पुनः प्राप्त या डाउनलोड किया जिसका उपयोग हमारी वित्त टीम कुछ चालानों को प्रबंधित करने के लिए करती है। हम वर्तमान में इन डाउनलोडों का विश्लेषण कर रहे हैं।"

क्या भेद्यता रिपोर्ट चोरी हो गई थी?

उबेर के अनुसार, इस खतरे पर प्रतिबंध लगाया जाना चाहिए “हमलावर हैकरवन पर हमारे डैशबोर्ड तक पहुंचने में सक्षम था, जहां सुरक्षा शोधकर्ता त्रुटियों और कमजोरियों की रिपोर्ट करते हैं। हालाँकि, सभी बग रिपोर्ट जो हमलावर तक पहुँच सकते थे, को ठीक कर दिया गया है। उस पूरे समय के दौरान, हम अपनी सभी सार्वजनिक-सामना करने वाली Uber, Uber Eats और Uber माल ढुलाई सेवाओं को सुचारू रूप से चालू रखने में सक्षम रहे हैं। जैसा कि हमने कुछ आंतरिक उपकरणों को बंद कर दिया, ग्राहक सेवा संचालन न्यूनतम रूप से प्रभावित हुआ और अब वापस सामान्य हो गया है।

उबेर सोचता है कि यह लैप्सस $ हमला है

जबकि अभी तक कोई निश्चित सबूत नहीं है, उबेर का मानना ​​है कि हमला लैप्सस $ का हमला था। "हम मानते हैं कि यह हमलावर (या हमलावर) लैप्सस $ नामक एक हैकिंग समूह से जुड़ा है, जो पिछले एक साल में तेजी से सक्रिय हो गया है। यह समूह आम तौर पर तकनीकी कंपनियों पर हमला करने के लिए समान तकनीकों का उपयोग करता है और अकेले 2022 में माइक्रोसॉफ्ट, सिस्को, सैमसंग, एनवीडिया और ओक्टा का उल्लंघन किया है। वीकेंड पर ऐसी भी खबरें आई हैं कि इसी एक्टर ने वीडियो गेम बनाने वाली कंपनी रॉकस्टार गेम्स पर हमला किया है. हम इस मामले पर एफबीआई और अमेरिकी न्याय विभाग के साथ घनिष्ठ समन्वय में हैं और उनके प्रयासों का समर्थन करना जारी रखेंगे।"

उबेर अब क्या कर रहा है?

उबेर फोरेंसिक डेटा का मूल्यांकन जारी रखना चाहता है और ऐसा करने के लिए बहुत सारी विशेषज्ञता का उपयोग करता है। इसके अलावा, उबर हमले से सीखना चाहता है और सुरक्षा को मजबूत करने और भविष्य के हमलों से बचाने के लिए नीतियों, प्रथाओं और तकनीकों पर काम करना चाहता है।

विषय से संबंधित लेख