Cyberthreat.id – Uber, dalam pembaharuannya, mengatakan "tidak ada bukti" bahwa informasi pribadi pengguna telah disusupi dalam pelanggaran sistem komputer internal yang ditemukan Kamis malam.

"Kami tidak memiliki bukti bahwa insiden tersebut melibatkan akses ke data pengguna yang sensitif (seperti riwayat perjalanan)," kata perusahaan itu. "Semua layanan kami termasuk Uber, Uber Eats, Uber Freight, dan aplikasi Uber Driver sudah beroperasi," dikutip dari The Hacker News, Senin (19/9).

Perusahaan ride-hailing juga mengatakan telah mengembalikan semua perangkat lunak internal yang dihapus sebelumnya sebagai tindakan pencegahan, menegaskan kembali bahwa pihaknya telah memberi tahu penegak hukum tentang masalah tersebut.

Tidak segera jelas apakah insiden itu mengakibatkan pencurian informasi lain atau berapa lama penyusup itu berada di dalam jaringan Uber.

Uber belum memberikan lebih spesifik tentang bagaimana insiden itu terjadi selain mengatakan penyelidikan dan upaya tanggapannya sedang berlangsung. Tetapi peneliti keamanan independen Bill Demirkapi menggolongkan sikap "tidak ada bukti" perusahaan sebagai "samar".

"'Tidak ada bukti' bisa berarti penyerang memang memiliki akses, Uber hanya belum menemukan bukti bahwa penyerang *menggunakan* akses itu untuk data pengguna 'sensitif'," kata Demirkapi. "Mengatakan secara eksplisit data pengguna 'sensitif' daripada data pengguna secara keseluruhan juga aneh."

Pelanggaran itu diduga melibatkan seorang peretas tunggal, seorang remaja berusia 18 tahun, menipu seorang karyawan Uber untuk memberikan akses akun dengan merekayasa sosial korban agar menerima permintaan otentikasi multi-faktor (MFA) yang memungkinkan penyerang untuk mendaftarkan perangkat mereka sendiri.

Setelah mendapatkan pijakan awal, penyerang menemukan jaringan internal yang berisi skrip PowerShell dengan kredensial admin istimewa, memberikan akses penuh ke sistem penting lainnya, termasuk AWS, Google Cloud Platform, OneLogin, portal respons insiden SentinelOne, dan Slack.

Analisis tindak lanjut Group-IB yang berbasis di Singapura terhadap artefak yang diunduh seperti yang ditangkap dalam beberapa tangkapan layar yang dibagikan oleh aktor ancaman telah mengungkapkan bahwa itu adalah log yang dikumpulkan dari malware pencuri informasi yang disiapkan untuk dijual hanya beberapa hari sebelumnya di bawah tanah kejahatan dunia maya. .

"Log ini dijual pada 12 dan 14 September, yang berarti bahwa ini adalah data yang sangat baru, karena peretasan yang memanfaatkannya terungkap dari 15 hingga 16 September," kata perusahaan keamanan siber, menambahkan bahwa log tersebut berisi informasi otorisasi untuk SatuLogin.

"Log ini menunjukkan bahwa setidaknya dua karyawan Uber (dari Indonesia dan Brasil) telah terinfeksi oleh malware pencuri: pencuri Raccoon dan Vidar," kata Group-IB, menunjukkan bahwa peretas mungkin juga telah mencoba menggunakan data curian yang dibeli untuk melanjutkan melalui jaringan Uber.

Yang mengkhawatirkan, seperti yang diungkapkan oleh peneliti keamanan Sam Curry, peretas remaja itu juga dikatakan telah mendapatkan laporan kerentanan yang diungkapkan secara pribadi yang dikirimkan melalui HackerOne sebagai bagian dari program bug bounty Uber.

HackerOne sejak itu pindah untuk menonaktifkan akun Uber, tetapi akses tidak sah ke kelemahan keamanan yang belum ditambal di platform dapat menimbulkan risiko keamanan yang sangat besar bagi perusahaan yang berbasis di San Francisco jika peretas memilih untuk menjual informasi kepada pelaku ancaman lain untuk keuntungan cepat.

Ini juga menunjukkan bahwa semua yang diperlukan agar pelanggaran terjadi adalah karyawan membagikan kredensial login mereka, membuktikan bahwa otentikasi berbasis kata sandi adalah tautan yang lemah dalam keamanan akun.

"Sekali lagi, kami melihat bahwa keamanan perusahaan hanya sebaik karyawan mereka yang paling rentan," kata Masha Sedova, salah satu pendiri dan presiden Elevate Security, dalam sebuah pernyataan.

“Kita perlu berpikir di luar pelatihan umum, sebagai gantinya mari kita pasangkan karyawan kita yang paling berisiko dengan kontrol pelindung yang lebih spesifik. Selama kita terus mengatasi keamanan siber sebagai semata-mata tantangan teknis, kita akan terus kalah dalam pertempuran ini,” tambah Sedova.

Episode seperti ini juga merupakan bukti bahwa kode One Time Password (TOTP) berbasis waktu – biasanya dihasilkan melalui aplikasi autentikator atau dikirim sebagai pesan SMS – tidak memadai untuk mengamankan penghalang jalan 2FA.

Salah satu cara untuk melawan ancaman tersebut adalah penggunaan kunci keamanan fisik yang sesuai dengan FIDO2 yang tahan terhadap phishing, yang menghapus kata sandi demi perangkat keras eksternal yang menangani otentikasi.

"Penyedia MFA harus *secara default* secara otomatis mengunci akun sementara ketika terlalu banyak permintaan dikirim dalam waktu singkat," kata Demirkapi, mendesak organisasi untuk membatasi akses istimewa.