Grand Theft Hacker: Uno sguardo all'hack di Rockstar Games e Uber

22 settembre 2022

Di Arnie Lopez - Ingegneria dei sistemi WW, Skyhigh Security

Che cosa hanno in comune una delle piattaforme di ride-sharing di maggior successo e uno dei videogiochi più popolari al mondo?

Se dicesse: "Auto", avrebbe ragione.

Se dicesse: "Entrambi sono stati violati dalla stessa persona nell'arco di una sola settimana", avrebbe anche ragione.

In primo luogo, Uber - l'app di ride-sharing che ha cambiato il modo in cui ci spostiamo dal punto A al punto B. Il 15 settembre, Uber ha annunciato che l'azienda aveva subito un "incidente di cybersecurity - una massiccia violazione dei dati che ha rivelato più di 124.000 documenti riservati" (datati tra il 2016 e il 2019) che illustravano operazioni losche tra i suoi gruppi di autisti, con le forze dell'ordine e con vari governi. I dipendenti di Uber sono stati colti di sorpresa dal post "Vi annuncio che sono un hacker e che Uber ha subito una violazione dei dati" sul loro canale Slack interno, e alcuni hanno inizialmente pensato che si trattasse di uno scherzo.

Si potrebbe pensare che questo hack di Uber sia stato un'impresa incredibile da portare a termine, ma l'hacker avrebbe colpito ancora, questa volta su uno dei videogiochi di maggior successo del settore. Il 18 settembre, è apparso online un filmato di gameplay dell'attesissimo sequel, Grand Theft Auto VI. Lo sviluppatore Rockstar Games ha riconosciuto lunedì di aver "subito un'intrusione nella rete in cui una terza parte non autorizzata ha avuto accesso e scaricato illegalmente informazioni riservate", confermando che il filmato di sviluppo di Grand Theft Auto VI era, in effetti, autentico.

L'hacker - con lo pseudonimo di "TeaPot" - ha affermato di aver ottenuto l'accesso alla rete interna di Rockstar Games, come Uber, accedendo alle credenziali di accesso di un dipendente. Quando gli è stato chiesto se temeva un arresto, il presunto hacker ha dichiarato al Washington Post di non essere preoccupato perché viveva fuori dagli Stati Uniti.

Come mai continuano a verificarsi attacchi incredibilmente dannosi come questo? Purtroppo, si tratta del fattore umano. L'ingegneria sociale non scomparirà, perché è semplice ed efficace, sfruttando appieno la natura umana. Non esiste alcuno strumento per prevenire l'ingegneria sociale, al di fuori della sensibilizzazione e della formazione alla sicurezza, che possono aiutare i dipendenti delle organizzazioni a riconoscere le tattiche comuni e persino a sviluppare procedure nel caso in cui appaiano e-mail o notifiche inaspettate.

Un'altra cosa da considerare è che le applicazioni di collaborazione sono bersagli comuni per gli hacker malintenzionati. Gli associati e persino i dipendenti di livello c-suite tendono a fidarsi di più delle comunicazioni ricevute. Si consideri che Slack è stata l'applicazione principale presa di mira da TeaPot, ma anche AWS e G-Suite sono state compromesse. L'attore adolescente è stato quindi in grado di accedere alla rete interna e di scansionare altre applicazioni cloud interne di cui poteva impadronirsi. A causa dell'account compromesso, entrambi questi attacchi sono diventati attacchi di minacce interne, che sono molto difficili da scoprire e fermare.

Da qui in avanti, le organizzazioni devono applicare strumenti di sicurezza come un CASB (Cloud Access Security Broker) con solide API Software-as-a-Service (SaaS) che abbiano una profonda comprensione del funzionamento delle App di collaborazione e della condivisione delle informazioni tra loro. Un CASB con una forte analisi comportamentale (UEBA) funzionerebbe in modo eccezionale con soluzioni come Slack, Office 365, Zoom, G-Suite e altre. Inoltre, una soluzione ZTNA (Zero Trust Network Access) fornirebbe una protezione aggiuntiva nel caso in cui l'accesso compromesso non fosse stato autorizzato a quei dati in partenza. Limitando l'accesso solo a coloro a cui è stata concessa l'autorizzazione fin dall'inizio, gli hacker sono limitati dalle credenziali che riescono a procurarsi.

Legga qui per conoscere alcuni strumenti di sicurezza del cloud che possono aiutarla a gestire casi d'uso come questo. Non esiste un unico fornitore o una soluzione che la protegga al 100%; si tratta di una difesa in profondità e anche di un po' di fortuna.