Kako je tinejdžer Haker navodno uspio provaliti i Uber i Rockstar igre

topline

Rockstar Games—programeri popularne serije video igrica Grand Theft Auto—je bio hakovan samo nekoliko dana nakon što su serveri giganta Ubera za vožnju bili meta sličnog proboja, navodno od strane istog hakera koji je koristio proces koji se zove društveni inženjering, veoma efikasan način napada koji se oslanja na obmanu zaposlenih u ciljanoj kompaniji i može biti teško zaštititi protiv.

Navodni tinejdžer haker uspio je provaliti internu bazu podataka Rockstar Gamesa i procuriti … [+] video snimci nenajavljenog nastavka franšize video igrica Grand Theft Auto.

AFP putem Getty Images-a

ključne činjenice

Slično kao i kod Uber hak, haker koji nosi pseudonim “TeaPot” tvrdio je da je dobio pristup internim porukama Rockstar Gamesa na Slacku i ranom kodu za njihov nenajavljeni nastavak Grand Theft Auto od dobivanje pristupa na akreditive za prijavu zaposlenog.

Iako su tačni detalji provale Rockstar-a nejasni, u Uberovom slučaju haker tvrdio maskirao se u informatičku osobu kompanije i uvjerio zaposlenog da podijeli svoje akreditive za prijavu.

Za razliku od drugih načina napada koji se oslanjaju na nedostatke u sigurnosnoj arhitekturi kompanije, društveni inženjering cilja ljude i oslanja se na manipulaciju i obmanu.

stručnjaci boriti se da ljudi i dalje ostaju "najslabija karika" u sajber sigurnosti jer ih je lako prevariti da kliknu na zlonamjerne veze ili podijele svoje vjerodajnice za prijavu.

Za razliku od drugih metoda, socijalni inženjering je također efikasan u pobjedi određenih poboljšanih sigurnosne mjere poput jednokratnih lozinki i drugih metoda višefaktorske provjere autentičnosti.

Presudna ponuda

Rachel Tobac, izvršna direktorica kompanije za kibernetičku sigurnost SocialProof Security i stručnjakinja za društveni inženjering tweeted: „Teška istina je da većina [organizacija]

u svijetu bi mogao biti hakovan na isti način na koji je Uber upravo hakovan…Mnoge [organizacije] još uvijek ne koriste [Multi Factor Authentication] interno… i ne koriste upravitelje lozinki (što dovodi do spremanja vjerodajnica na mjesta koja se lako mogu pretraživati jednom uljez ulazi).”

Ključna pozadina

Društveni inženjering je korišten za izvođenje nekoliko visokoprofilnih hakova posljednjih godina, uključujući i otmica više od 100 istaknutih Twitter naloga – među njima Elon Musk, bivši predsjednik Barack Obama, Bill Gates i Kanye West – koji su tada korišteni za promoviranje bitcoin prevare. Hakove su izvršili tinejdžeri koji su uspjeli da dobiju pristup internim mrežama Twittera ciljajući na "mali broj zaposlenih" prema kompanija društvenih medija. Prošlog mjeseca, i Cloudflare i Twilio su također bili meta napada društvenog inženjeringa nazvanog “phishing” gdje su zaposleni prevareni da otvore poruku koja je bila prikrivena da izgleda kao legitimna komunikacija kompanije, ali je uključivala zlonamjernu vezu. Twilio, koji pruža usluge razmjene poruka i dvofaktorske autentifikacije, obelodanjeno da su hakeri uspjeli provaliti u interne baze podataka kompanije i dobiti pristup neotkrivenom broju korisničkih računa. Cloudflare, mreža za isporuku sadržaja na mreži, primećeno hakeri nisu mogli pristupiti njegovoj internoj mreži.

protiv

Za razliku od Twilia, Ubera i Rockstara, kojima su interni sistemi probijeni, Cloudflare je uspio izbjeći ovu sudbinu zahvaljujući korištenju hardverski bazirani sigurnosni ključevi. Za razliku od drugih metoda višefaktorske autentifikacije kao što su tekstualne poruke i jednokratne lozinke, hardverski sigurnosni ključevi su mnogo sigurniji od napada društvenog inženjeringa. Ciljani zaposlenik može biti prevaren da podijeli detalje tekstualne poruke ili jednokratne lozinke, ali haker mora fizički posjedovati hardverski sigurnosni ključ da bi dobio pristup računu. Hardverski sigurnosni ključevi dolaze u različitim oblicima uključujući USB stickove ili Bluetooth ključeve i moraju biti priključeni ili povezani s uređajem koji pokušava pristupiti zaštićenom računu. Hakeri koji dobiju pristup vjerodajnicama zaposlenika neće moći pristupiti svojim nalozima koji koriste ovaj oblik sigurnosti, a da fizički ne dobiju pristup njihovim ključevima. U 2018. Google objavio da nijedan od njegovih 85,000 nije bio uspješno ciljan putem phishing napada nakon što je naložio korištenje fizičkih sigurnosnih ključeva godinu dana ranije.

Veliki broj

323,972. To je ukupan broj pritužbi na napade socijalnog inženjeringa koje je FBI primio 2021. — skoro tri puta veći nego što je bio 2019. — prema godišnjem izvještaju agencije Izvještaj o internetskom kriminalu. Tokom ovog perioda, hakeri uspeo da ukrade ukupno 2.4 milijarde dolara kompromitovanjem naloga poslovne e-pošte putem tehnika društvenog inženjeringa.

Što gledati

Bloombergov Jason Schreier spekulirao je da bi nedavni hak mogao navesti Rockstar postaviti ograničenja o radu na daljinu. Stručnjaci za sajber sigurnost imaju prethodno argumentovano da rad na daljinu može zahtijevati više mjera opreza jer ostavlja zaposlenike ranjivijim na napade socijalnog inženjeringa.

Daljnje čitanje

Uber kaže da reaguje na "incident kibernetičke sigurnosti" nakon navodnog hakovanja internih baza podataka (Forbes)

Uber Haker tvrdi da je hakovao Rockstar igre, objavljuje GTA 6 video zapise (Forbes)

FBI istražuje Uber & GTA 6 Hacks, UK osumnjičen za vođu bande za iznuđivanje tinejdžera (Forbes)

Izvor: https://www.forbes.com/sites/siladityaray/2022/09/20/social-engineering-how-a-teen-hacker-allegedly-managed-to-breach-both-uber-and-rockstar- igre/