როგორ მოახერხა მოზარდმა ჰაკერმა როგორც Uber-ის, ისე Rockstar თამაშების დარღვევა

ზევით

Rockstar Games-ი ვიდეო თამაშების პოპულარული Grand Theft Auto სერიის დეველოპერები იყო hacked მხოლოდ რამდენიმე დღის შემდეგ, რაც გიგანტური Uber-ის სერვერები იქნა მიზანმიმართული მსგავსი დარღვევით, სავარაუდოდ იმავე ჰაკერის მიერ, რომელმაც გამოიყენა პროცესი, რომელსაც ეწოდება სოციალური ინჟინერია, შეტევის ძალზე ეფექტური მეთოდი, რომელიც ეყრდნობა მიზანმიმართული კომპანიის თანამშრომლების მოტყუებას და შეიძლება რთული იყოს მისი დაცვა. წინააღმდეგ.

სავარაუდო თინეიჯერმა ჰაკერმა მოახერხა Rockstar Games-ის შიდა მონაცემთა ბაზის დარღვევა და გაჟონა … [+] ვიდეო თამაშების ბლოკბასტერ Grand Theft Auto-ს ფრენჩაიზის გამოუცხადებელი გაგრძელების ვიდეოები.

AFP გეტის სურათების საშუალებით

საკვანძო ფაქტები

მსგავსი Uber ჰაკიჰაკერმა, რომელიც მოიხსენიება მეტსახელად „TeaPot“ ამტკიცებდა, რომ მან მიიღო წვდომა Rockstar Games-ის შიდა შეტყობინებებზე Slack-ზე და ადრეულ კოდზე მათი გამოუცხადებელი Grand Theft Auto გაგრძელებისთვის. წვდომის მოპოვება თანამშრომლის შესვლის სერთიფიკატს.

მიუხედავად იმისა, რომ Rockstar-ის დარღვევის ზუსტი დეტალები გაურკვეველია, Uber-ის შემთხვევაში ჰაკერი აცხადებდა, მან გადაიტანა როგორც კომპანიის IT პირი და დაარწმუნა თანამშრომელი, გაეზიარებინა შესვლის სერთიფიკატები.

სხვა შეტევებისგან განსხვავებით, რომლებიც ეყრდნობა კომპანიის უსაფრთხოების არქიტექტურის ხარვეზებს, სოციალური ინჟინერია მიზნად ისახავს ადამიანებს და ეყრდნობა მანიპულირებასა და მოტყუებას.

ექსპერტები ამტკიცებენ რომ ადამიანები კვლავ რჩებიან კიბერუსაფრთხოების „ყველაზე სუსტ რგოლად“, რადგან მათ შეუძლიათ ადვილად მოატყუონ მავნე ბმულებზე დაწკაპუნებით ან მათი შესვლის სერთიფიკატების გაზიარებით.

სხვა მეთოდებისგან განსხვავებით, სოციალური ინჟინერია ასევე ეფექტურია გარკვეული გაძლიერებულის დასამარცხებლად უსაფრთხოების ზომები როგორიცაა ერთჯერადი პაროლები და სხვა მრავალფაქტორიანი ავთენტიფიკაციის მეთოდები.

საკვანძო ციტატა

რეიჩელ ტობაკი, კიბერუსაფრთხოების ფირმის SocialProof Security აღმასრულებელი დირექტორი და სოციალური ინჟინერიის ექსპერტი tweeted: ”მძიმე სიმართლე ის არის, რომ [ორგანიზაციების] უმეტესობა

მსოფლიოში შეიძლება გატეხილი იქნეს ზუსტად ისე, როგორც Uber-ის გატეხვა მოხდა...ბევრი [ორგანიზაცია] ჯერ კიდევ არ იყენებს [მულტიფაქტორულ ავთენტიფიკაციას] შიდა... და არ იყენებს პაროლის მენეჯერებს (რაც იწვევს კრედიტების შენახვას ადვილად საძიებო ადგილებში ერთხელ შემოჭრილი შემოდის).“

ძირითადი ფონი

სოციალური ინჟინერია გამოიყენებოდა რამდენიმე გახმაურებული ჰაკის განსახორციელებლად ბოლო წლებში, მათ შორის გატაცება 100-ზე მეტი ცნობილი Twitter-ის ანგარიშებიდან, მათ შორის ილონ მასკი, ყოფილი პრეზიდენტი ბარაკ ობამა, ბილ გეითსი და კანი ვესტი, რომლებიც შემდეგ გამოიყენეს ბიტკოინის თაღლითობის პოპულარიზაციისთვის. ჰაკერები განხორციელდა თინეიჯერების მიერ, რომლებმაც მოახერხეს წვდომა Twitter-ის შიდა ქსელებზე „მცირე რაოდენობის თანამშრომლების“ გამიზნებით. მიხედვით სოციალური მედიის კომპანია. გასულ თვეში, Cloudflare და Twilio ასევე მიზანმიმართული იყვნენ სოციალური ინჟინერიის შეტევის სახით, სახელწოდებით "ფიშინგი", სადაც თანამშრომლებს მოატყუეს და გახსნეს მესიჯი, რომელიც შენიღბული იყო, როგორც კომპანიის ლეგიტიმური კომუნიკაცია, მაგრამ მოიცავდა მავნე ბმულს. Twilio, რომელიც უზრუნველყოფს შეტყობინებების და ორფაქტორიანი ავთენტიფიკაციის სერვისებს, გამჟღავნება რომ ჰაკერებმა მოახერხეს კომპანიის შიდა მონაცემთა ბაზების გარღვევა და მომხმარებელთა გაურკვეველ ანგარიშებზე წვდომა მიიღეს. Cloudflare, ონლაინ შინაარსის მიწოდების ქსელი, აღნიშნა ჰაკერებმა ვერ შეძლეს მის შიდა ქსელში წვდომა.

Contra

Twilio-სგან, Uber-ისა და Rockstar-ისგან განსხვავებით, რომლებსაც შიდა სისტემები დაირღვეს, Cloudflare-მა მოახერხა ამ ბედის თავიდან აცილება მისი გამოყენების გამო. აპარატურაზე დაფუძნებული უსაფრთხოების გასაღებები. სხვა მრავალფაქტორიანი ავთენტიფიკაციის მეთოდებისგან განსხვავებით, როგორიცაა ტექსტური შეტყობინებები და ერთჯერადი პაროლები, ტექნიკის უსაფრთხოების გასაღებები ბევრად უფრო დაცულია სოციალური ინჟინერიის შეტევებისგან. მიზანმიმართულ თანამშრომელს შეიძლება მოატყუონ ტექსტური შეტყობინების ან ერთჯერადი პაროლის დეტალების გაზიარება, მაგრამ ჰაკერმა უნდა მოიპოვოს ტექნიკური უსაფრთხოების გასაღების ფიზიკური ფლობა ანგარიშზე წვდომის მისაღებად. აპარატურის უსაფრთხოების გასაღებები მოდის სხვადასხვა ფორმით, მათ შორის USB ჩხირები ან Bluetooth dongles და ისინი უნდა იყოს მიერთებული ან დაკავშირებული მოწყობილობასთან, რომელიც ცდილობს დაცულ ანგარიშზე წვდომას. ჰაკერები, რომლებიც იღებენ წვდომას თანამშრომელთა რწმუნებულებაზე, ვერ შეძლებენ წვდომას მათ ანგარიშებზე, რომლებიც იყენებენ უსაფრთხოების ამ ფორმას, მათ გასაღებებზე ფიზიკური წვდომის გარეშე. 2018 წელს Google გამოაცხადა რომ მისი 85,000-დან არცერთი არ ყოფილა წარმატებით მიზანმიმართული ფიშინგის შეტევის შედეგად მას შემდეგ, რაც მან დაავალა ფიზიკური უსაფრთხოების გასაღებების გამოყენება ერთი წლით ადრე.

დიდი რიცხვი

323,972 2021. ეს არის 2019 წელს FBI-ს მიერ მიღებული სოციალური ინჟინერიის თავდასხმების საჩივრების საერთო რაოდენობა - თითქმის სამჯერ მეტი, ვიდრე ეს იყო XNUMX წელს - სააგენტოს ყოველწლიური მონაცემებით. ინტერნეტ დანაშაულის ანგარიში. ამ პერიოდში ჰაკერები მოპარვა მოახერხა სულ $2.4 მილიარდი ბიზნეს ელ.ფოსტის ანგარიშების კომპრომეტირებით სოციალური ინჟინერიის ტექნიკით.

რა უყურეთ?

Bloomberg-ის ჯეისონ შრაიერმა თქვა, რომ ბოლოდროინდელმა ჰაკერმა შესაძლოა Rockstar-ს აიძულოს განათავსეთ შეზღუდვები დისტანციურ სამუშაოზე. კიბერუსაფრთხოების ექსპერტებს აქვთ ადრე კამათობდა რომ დისტანციურ მუშაობას შეიძლება მეტი სიფრთხილის ზომები დასჭირდეს, რადგან ის თანამშრომლებს უფრო დაუცველს ხდის სოციალური ინჟინერიის შეტევების მიმართ.

შემდგომი Reading

Uber აცხადებს, რომ პასუხობს "კიბერუსაფრთხოების ინციდენტს" შიდა მონაცემთა ბაზების სავარაუდო გატეხვის შემდეგ (ფორბსი)

Uber-ის ჰაკერი აცხადებს, რომ გატეხა Rockstar Games და GTA 6-ის ვიდეოები გამოუშვა (ფორბსი)

FBI იძიებს Uber & GTA 6-ის ჰაკერებს, ეჭვმიტანილია დიდი ბრიტანეთის მოზარდების გამოძალვის ბანდის ლიდერი (ფორბსი)

წყარო: https://www.forbes.com/sites/siladityaray/2022/09/20/social-engineering-how-a-teen-hacker-allegedly-managed-to-breach-both-uber-and-rockstar- თამაშები/