Руководитель Uber по информационной безопасности Джон Флинн (John Flynn) выступил в Сенате США с подробностями о масштабной утечке данных, которая произошла в 2016 году.

Взломщики облачного контейнера Amazon S3 получили в свое распоряжение информацию о 50 млн пассажиров и 7 млн подключенных к Uber водителей. В своем докладе Флинн подробно рассказал, как развивались события, кто оказался виновен в произошедшем и какие шаги компания предприняла, чтобы подобный слив не повторился.

Почти половина выступления была посвящена багхантинговой программе Uber, через которую компания провела платеж взломщикам. Профессиональное сообщество осудило этот поступок, поскольку он противоречит профессиональной этике белых хакеров.

Флинн признал ошибку Uber: «Подход, который применили взломщики, принципиально отличался от поведения [добросовестных] участников ИБ-сообщества, для которых и были разработаны программы по поиску уязвимостей». Тем не менее, компания пошла на выплату, чтобы защитить данные своих пользователей.

Специалист выступил в защиту багхантинг-программы Uber как таковой. По его словам, с 2015 года она помогла устранить свыше 800 уязвимостей и принесла $1,3 миллиона более чем 500 участникам.

Далее Флинн восстановил цепочку событий 2016 года начиная с 14 ноября, когда служба безопасности получила анонимное письмо с требованием выкупа. В соответствии с установленными процедурами компания сформировала штаб реагирования, в котором Флинн возглавил команду технических специалистов.

Уже через 24 часа им удалось установить, как взломщики получили доступ к информации, и закрыть брешь. Эксперты выяснили, что данные утекли через облачный контейнер Amazon S3. Преступники ввели учетные данные одного из программных инженеров Uber, которые тот оставил в своем коде в репозитории GitHub.

ИБ-специалисты компании заблокировали скомпрометированный логин, а позже ввели для работы с GitHub многофакторную аутентификацию. Кроме того, теперь инженеры используют эту площадку только для open-source проектов.

Компания изменила политику доступа к облачным контейнерам Amazon S3, оставив такую возможность только пользователям из «белого списка» IP-адресов. Аккаунты теперь автоматически деактивируются по истечении установленного периода, что не позволит злоумышленникам использовать устаревшие учетные данные для несанкционированного доступа.

Параллельно с технической командой в штабе работала отдельная группа специалистов, которые пытались определить личности преступников. Они выяснили, что их было двое — гражданин Канады организовал взлом, а житель Флориды выполнил вторжение. Представители компании связались с преступниками и удостоверились, что те удалили похищенную базу.

Флинн также сообщил, что в 2017 году Uber привлекла для расследования инцидента независимую ИБ-компанию Mandiant. Ее эксперты установили, что утечка не коснулась данных об истории поездок пользователей, их кредитных картах, банковских счетах, номерах социального страхования и датах рождения.

Облачные контейнеры Amazon регулярно попадают в новости из-за масштабных утечек информации. В 2017 году угрозе подверглись данные американских избирателей, клиентов телекоммуникационного холдинга Verizon, кабельной сети Time Warner. Стоит отметить, что причиной, как правило, становится неправильная конфигурация хранилища. В ноябре представители компании анонсировали новые функции, призванные упростить настройку облака и повысить безопасность данных.

Категории: Главное, Кибероборона