Secure Code Warrior está profundamente comprometida a ayudar a educar a la comunidad de desarrolladores y de seguridad sobre cómo escribir código de forma segura, así como a mitigar el riesgo de vulnerabilidades introducidas a través de código inseguro. Como parte de este objetivo, utilizaremos la historia en desarrollo del reciente incidente de seguridad de Uber como una oportunidad para discutir la importancia de la seguridad impulsada por los desarrolladores y el cambio de la izquierda.

Incidente de seguridad en Uber

Uber publicó un comunicado sobre el incidente de ciberseguridad el 16 de septiembre y siguen actualizándolo. Los lectores deben tener en cuenta que esta es una historia en curso. Recapitulemos lo que hemos aprendido a través del anuncio de Uber hasta el momento y de otras publicaciones reputadas en la comunidad de seguridad. 

El hacker comenzó con la ingeniería social de un empleado de Uber, después de haber encontrado su número de What'sApp. El atacante se puso en contacto con ellos y comenzó a suplantar sus credenciales haciendo que el empleado desprevenido iniciara sesión en un sitio falso de Uber y luego capturando su nombre de usuario y contraseña. 

Las cuentas de Uber están protegidas a través de la autenticación multifactor (MFA), lo que significa que, además de enviar una contraseña, el usuario debe presentar una segunda prueba que confirme su identidad. En la mayoría de los casos, se trata de un aviso enviado a un dispositivo móvil. 

Tras obtener las credenciales, el atacante inició un ataque de fatiga MFA intentando continuamente iniciar sesión en el sitio genuino de Uber, y abrumando al empleado con numerosas notificaciones push en su dispositivo. De nuevo, el atacante se puso en contacto con la víctima a través de WhatsApp. Esta vez, supuestamente, se hizo pasar por el servicio de asistencia informática y logró convencerles de que aceptaran.

Credenciales codificadas

La base de la brecha de seguridad de Uber fue un exitoso ataque de phishing. Una vez dentro, el intruso encontró recursos compartidos de red que contenían scripts de PowerShell. Uno de estos scripts contenía las credenciales codificadas de un usuario administrador, lo que llevó a comprometer los servicios internos de Uber, como AWS, G-Suite y los repositorios de código. El hacker también obtuvo acceso a la cuenta HackerOne de Uber. Según Uber, sin embargo, "todos los informes de errores a los que el atacante pudo acceder han sido remediados".

¿Tiene curiosidad por ver cómo se vería esta vulnerabilidad en el código? Pruebe nuestro desafío PowerShell de forma gratuita.

¿Qué tan comunes son estos tipos de ataques?

La ingeniería social como vector de ataque es difícil de defender, ya que el factor humano siempre se ha considerado la parte más débil de la ciberseguridad. El hackeo de Uber ha ilustrado claramente que las implementaciones de MFA pueden ser fácilmente burladas. La clave para evitarlo es crear más conciencia entre los empleados sobre el funcionamiento de los ataques de phishing. 

Lo que causó la exposición de los servicios internos de Uber, sin embargo, son el nombre de usuario y la contraseña del administrador que se encontraron en un script de PowerShell. La codificación de credenciales nunca es buena, ya que son legibles para cualquier desarrollador y, básicamente, para cualquiera que tenga acceso al código. 

Pero, de nuevo, ¡la concienciación es la clave! Los desarrolladores con una mentalidad centrada en la seguridad son más propensos a detectar vulnerabilidades, y menos a escribirlas.

Un enfoque doble de educación general sobre ingeniería social y, más concretamente, de formación proactiva en codificación segura, reducirá el número de vulnerabilidades en una base de código y, por tanto, resultará fundamental en la lucha contra las amenazas a la seguridad.

¿Quiere saber más sobre cómo mantenerse al día con las mejores prácticas de codificación segura? Consulte Secure Code Coach. Aquí puede aprender las directrices de codificación segura y probar ejercicios de formación de forma gratuita.