Megtörték az Uber-t. Itt vannak a részletek.

Titkosítás, biztonság, privát szféra

2022. szeptember 15-én egy sikeres social engineering kísérlet révén feltörték az Ubert, amelyet egy belső hálózat elleni privilégium-eszkalációs támadás követett.

Részletek itt.

( Botond | 2022. 09. 19., h – 09:07 )

"In this case, the hacker was able to convince an employee — through phishing or another type of social engineering attack — to gain access to a single employee’s credentials."

Hogy lehet egy alkalmazottnak ennyi esze?

"Since the hacker was on Uber’s internal network (via VPN), it was able to snoop around files shared by other employees. One file was a PowerShell script — typically used to automate Windows Servers (Computers) — containing administrative credentials for the Thycotic service."

Már értem. Ha a rendszergazdának is csak ennyi esze van, akkor nem csodálkozom az egyszeri alkalmazotton.

Ilyen az, ha nincs security kepzes.

20-25 evvel ezelott meg mondhattad, hogy nem meg lattunk ilyet, de manapsag mar olyan generacio dolgozik, akik nem lattak internet elotti vilagot soha.
2022-ben ez szegyen.

Mitnick konyverol azt hittem, jo tortenelem, erre megtortenik: social engineering-gel bejutni egy nagyobb ceghez. Az arcom leteszem, de komolyan.

In IBTV we trust ;) VIP Gizi bármire is rákattint ha akar. Ha meg benn van a csávó majd a one man show megfogja a versenyképes fizetésért, a biztonsági püttypürütty meg csak láthatatlanul számláz ;) (de azt pontosan)

A security képzés= levetítűnk pár NKI-s YouTube videót ;)

Ilyen az, ha nincs security kepzes.

vagy pont, hogy túl sok "képzés" (értsd next-next-finish x db kérdés mi a jó válasz, kisvideó stb). Gyakorlatba átültetett biztonság: ne engedd vissza az irodába a kollégát badge nélkül..

Külön bónusz, ahol pl fejlesztők, üzemeltetők (hogy az átlag irodistáról ne is beszéljek)-et a dedikált security team kb ellenségként kezeli.

Ez így van. Manapság már minden normálisabb cégnél, intézménynél tartanak infobiztonsági képzést, amiben ismertetik a vonatkozó belső szabályzatot, ami részletesen kitér erre, hogy kinek szabad belső infót kiadni, hogyan kell meggyőződni, hogy valaki az-e, akinek mondja magát (és nem scam, pishing van a háttérben), milyen csatornákon mehet ki adat, mi a teendő, ha céges laptopot, mobilt, belépőkártyát, stb.-t hagynak el, lopnak el, stb.. Most ne már, hogy egy Uber kaliberű cégnél ne legyen ilyen. Persze, megértem, ha a rendszergazda is olyan hülye már, hogy rendszergazdai jelszót PS scriptben tárol le, akkor az egy ilyen hely, kellett is nekik ez a pofon, hogy észhez térjenek. Ez ilyen műfaj, a hülye a saját kárán tanul jobb esetben, vagy rosszabb esetben azon se. Reméljük, hogy ez a jobbik eset lesz.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

"the admin user the hacker gained access to was able to extract secrets (passwords) for ALL OF UBER’s SERVICES"

Na és ennek a jelszavát tették bele cleartext-ben egy script-be!
Ez annyira durva, hogy kezdem azt hinni, hogy nem is igaz. Mondjuk, hogy mi lehet az az ennél is durvább hiba, ami helyett ezt ki kellett találni, arra még tippem sincsen, de valahogy azt gondolnám, hogy az Uber nem tudott volna milliárdos globális céggé fejlődni, ha tényleg ennyire trehány rendszergazdák dolgoznak náluk.