Uber သည် ဆိုက်ဘာတိုက်ခိုက်မှုခံခဲ့ရပြီး ကုမ္ပဏီ၏အတွင်းပိုင်းစနစ်များ ကျိုးပေါက်ခြင်းနှင့် လုံခြုံရေးအားနည်းချက်အစီရင်ခံစာများ ခိုးယူခြင်းခံရ

ကြာသပတေးနေ့ မွန်းလွဲပိုင်းတွင် အသက် ၁၈နှစ်အရွယ် ဟက်ကာတစ်ယောက်က HackerOne ထံတင်ပြထားသော လုံခြုံရေးအားနည်းချက်အစီရင်ခံစာများအား download လုပ်ခြင်းနှင့် ကုမ္ပဏီ၏အတွင်းပိုင်းစနစ်များ၊ အီးမေးလ် Dashboard နှင့် Slack ဆာဗာများကို screen ဖမ်းယူထားသောပုံများကို မျှဝေခဲ့ခြင်းကဲ့သို့ ဆိုက်ဘာတိုက်ခိုက်မှု ပြုလုပ်ခြင်းကို Uber အနေဖြင့် ကြုံတွေ့ခဲ့ရပါသည်။

          အဆိုပါဟက်ကာက ဝေမျှထားသော screen ဖမ်းယူထားသောပုံများကို BleepingComputer က တွေ့မြင်ခဲ့ပြီး ၎င်းပုံများအရ ကုမ္ပဏီ၏လုံခြုံရေးဆော့ဖ်ဝဲလ်နှင့် Windows Domain အပါအဝင် Uber ၏ အရေးကြီးသော အိုင်တီစနစ်များစွာကို ၎င်းက အပြည့်အဝ ဝင်ရောက်ရယူနိုင်ပုံ ပေါ်နေပါသည်။

          ဟက်ကာက ဝင်ရောက်ခဲ့သည့် အခြားသောစနစ်များတွင် ကုမ္ပဏီ၏ AWS Console၊ VMWare/vSphere/ESXi VM များနှင့် Uber ၏အီးမေးလ်အကောင့်များကို စီမံခန့်ခွဲနိုင်သည့် Google Workspace Admin Dashboard ပါဝင်ပါသည်။

          ပြစ်မှုကျူးလွန်သူက Uber ၏ Slack ဆာဗာကိုလည်း ဖောက်ထွင်းခဲ့ပြီး ကုမ္ပဏီအနေဖြင့် တိုက်ခိုက်ခံရကြောင်းအား ဝန်ထမ်းများသိရှိစေရန် စာတိုများပို့ရန် Slack ဆာဗာကို အသုံးချခဲ့ပါသည်။ သို့သော်လည်း ဝန်ထမ်းများက တကယ့်ဆိုက်ဘာတိုက်ခိုက်ခံရမှု ဖြစ်ပွားခဲ့သည်ဟု မယုံကြည်ကြသဖြင့် Uber ၏ Slack မှ screen ဖမ်းယူထားသောပုံများနှင့်ပတ်သက်သော ကြေညာချက်သည် အပြောင်အပျက်များ၊ ဟာသများနှင့်သာ ကြုံခဲ့ရသည်။

          Uber ဘက်မှ အဆိုပါတိုက်ခိုက်မှုကို အတည်ပြုခဲ့ပြီး ၎င်းတို့အနေဖြင့် တရားဥပဒေစိုးမိုးရေးအဖွဲ့နှင့် ဆက်သွယ်နေကြောင်းနှင့် နောက်ထပ်အချက်အလက်များ ဖော်ပြပေးမည်ဖြစ်ကြောင်း တွစ်တာတွင် ရေးသားဖော်ပြခဲ့သည်။

          “ကုမ္ပဏီအနေဖြင့် ဆိုက်ဘာလုံခြုံရေးဖြစ်စဉ်ကို ဖြေရှင်းဆောင်ရွက်နေကြောင်း၊ မိမိတို့အနေဖြင့် တရားဥပဒေစိုးမိုးရေးအဖွဲ့နှင့် ဆက်သွယ်နေကြောင်းနှင့် နောက်ထပ်အချက်အလက်များ ဖော်ပြပေးမည်ဖြစ်ကြောင်း” Uber Communication အကောင့်က တွစ်တာတွင်ရေးသားဖော်ပြခဲ့သည်။

          ဒေတာပေါက်ကြားမှုကို ပထမဆုံး အစီရင်ခံတင်ပြခဲ့သည့် နယူးယောက်တိုင်းမ်က ၎င်းတို့အနေဖြင့် ပြစ်မှုကျူးလွန်သူနှင့် စကားပြောဆိုချက်အရ အဆိုပါပေါက်ကြားချက်သည် ဝန်ထမ်းတစ်ဦးအား လူမှုလှည့်ဖြားနည်း တိုက်ခိုက်မှု အသုံးပြု၍ စကားဝှက်ကို ခိုးယူကာ တိုက်ခိုက်ခဲ့ခြင်းဖြစ်သည်ဟု ပြောကြားခဲ့သည်။

          ပြစ်မှုကျူးလွန်သူက ခိုးယူထားသောအချက်အလက်များအသုံးပြု၍ ကုမ္ပဏီ၏ စနစ်အတွင်းပိုင်းသို့ ဝင်ရောက်ခွင့် ရရှိခဲ့ပါသည်။

          သောကြာနေ့နေ့လည်၌ Uber ၏ နောက်ထပ်ဖော်ပြထားမှုတွင် စုံစမ်းစစ်ဆေးမှုဆောင်ရွက်ဆဲဖြစ်သည်ဟု ဆိုသော်လည်း အောက်ပါနောက်တိုးအချက်အလက်များကို မျှဝေထားပါသည်-

၁။ အရေးကြီးသောအချက်အလက်များကို ရယူသွားမှုဖြစ်စဉ်နှင့် ပတ်သက်၍ ကျွန်ုပ်တို့တွင် အထောက်အထား မရှိပါ။

၂။       Uber၊ Uber Eats၊ Uber Freight နှင့် Uber Driver app များအားလုံးသည် လုပ်ငန်းလည်ပတ်လျက် ရှိပါသည်။

၃။       ကုမ္ပဏီမှ ယမန်နေ့က မျှဝေထားသည့်အတိုင်း တရားဥပဒေအဖွဲ့အစည်းများကို အကြောင်းကြားထားပြီး ဖြစ်ပါသည်။

၄။       ယမန်နေ့က ဖယ်ရှားခဲ့သော ဆော့ဖ်ဝဲလ်၏အရေးကြီးသောအပိုင်းများသည် ယနေ့နံနက်တွင် ပြန်လည် အလုပ်လုပ်ပြီ ဖြစ်ပါသည်။

ပေါ်ထွက်လာသော အသေးစိတ်အချက်အလက်များ

          တိုက်ခိုက်သူမှ ကုမ္ပဏီ၏ Slack ဆာဗာပေါ်မှ Uber ၏ စနစ်များကို ဖောက်ထွင်းနိုင်ခဲ့ကြောင်းနှင့် HackerOne ၏ ပြစ်ချက်ရှာ၊ ဆုကြေးယူ ပရိုဂရမ်တွင် ရေးသားထားသည့် မှတ်ချက်များအကြောင်း ကျယ်လောင်စွာ ကြေညာခဲ့ပြီးနောက်တွင် လုံခြုံရေးသုတေသီများက တိုက်ခိုက်မှုနှင့်ပတ်သက်ပြီး ပိုမိုသိရှိနိုင်ရန် ပြစ်မှုကျူးလွန်သူထံ ဆက်သွယ်ခဲ့ပါသည်။

          လုံခြုံရေးသုတေသီ ကော်ဘန်လီယိုနှင့် ပြစ်မှုကျူးလွန်သူကြား ဆွေးနွေးပြောဆိုမှုတစ်ခုတွင် ၎င်းတို့အနေဖြင့် ဝန်ထမ်းတစ်ဦးအား လူမှုလှည့်ဖြားခြင်းတိုက်ခိုက်မှု ပြုလုပ်ပြီးနောက် Uber ၏ အတွင်းပိုင်းကွန်ရက်ကို ရရှိခဲ့ခြင်း ဖြစ်ကြောင်း ဟက်ကာမှ ဆိုပါသည်။

          ပြစ်မှုကျူးလွန်သူ၏အဆိုအရ ၎င်းတို့သည် Uber ဝန်ထမ်းတစ်ယောက်အနေဖြင့် စနစ်တွင်းသို့ဝင်ခဲ့သော်လည်း အဆိုပါ အကောင့်များရရှိခဲ့ပုံ အသေးစိတ်ကိုမူ ပြောကြားခြင်း မရှိပါ။

          Uber အကောင့်သည် စနစ်တွင်းသို့ဝင်ရောက်ရန် MFA (Multif-factor Authentication) နည်းပညာဖြင့် ကာကွယ်ထားသောကြောင့် တိုက်ခိုက်သူက MFA Fatigue တိုက်ခိုက်မှုကို အသုံးပြုကာ Uber ၏ IT Support Team အနေဖြင့် အယောင်ဆောင်ခဲ့ပြီး MFA ခွင့်ပြုရန်တောင်းဆိုချက်ကို လက်ခံရန် ဝန်ထမ်းအား လှည့်စားခဲ့ရပါသည်။

          ပြစ်မှုကျူးလွန်သူက ရရှိထားသော အကောင့်များဖြင့် စနစ်တွင်းသို့ ဝင်ရောက်ချိန်၌  MFA ကို အသုံးပြုကာ တားဆီးပိတ်ပင်ကြချိန်၌ MFA Fatigue တိုက်ခိုက်မှုများကို အသုံးပြုကြပါသည်။ MFA ခွင့်ပြုရန်တောင်းဆိုချက်ကို ပစ်မှတ်ထားတိုက်ခိုက်ခံရသူက မြင်ရလွန်းသဖြင့် ငြီးငွေ့လာသည့်အဆုံး၌ တောင်းဆိုချက်ကို လိုက်လျောသည်အထိ ပစ်မှတ်ထံသို့ မကြာမကြာ ပေးပို့ပါသည်။

          ဤလူမှုလှည့်ဖြားခြင်းနည်းဗျူဟာသည် နာမည်ကြီးကုမ္ပဏီများဖြစ်သည့် Twitter၊ MailChimp၊ Robinhood နှင့် Okta တို့အပေါ် မကြာသေးမီကတိုက်ခိုက်မှုဖြစ်ပွားခဲ့အပြီးတွင် အလွန်ရေပန်းစားလာခဲ့ပါသည်။

          အကောင့်များနှင့်ပတ်သက်သောအချက်အလက်များကို ရရှိပြီးနောက် ပြစ်မှုကျူးလွန်သူက လီယိုကို ပြောကြားခဲ့သည်မှာ ၎င်းတို့သည် VPN မှတဆင့် အတွင်းပိုင်းကွန်ရက်တွင်းသို့ ဝင်ရောက်နိုင်ခဲ့ကြပြီး အရေးကြီးအချက်အလက်များ ရရှိရန် ကုမ္ပဏီ၏ အတွင်းပိုင်းကွန်ရက်ကို ထောက်လှမ်းစစ်ဆေးမှု စတင်ခဲ့ပါသည်။

          အဆိုပါကွန်ရက်ထောက်လှမ်းမှုမှတဆင့် ဟက်ကာများက ကုမ္ပဏီ၏ Thycotic Privileged Access Managed (PAM) ပလက်ဖောင်းအတွက် Admin အကောင့်ပါရှိသော PowerShell script တစ်ခုကို ရှာဖွေတွေ့ရှိခဲ့ပြီး ၎င်း script ဖြင့် ကုမ္ပဏီ၏အခြားသော အတွင်းပိုင်းဝန်ဆောင်မှုနှင့်ဆိုင်သော လျှို့ဝှက်ချက်များရယူနိုင်ရန် သုံးစွဲခဲ့သည်။

          တိုက်ခိုက်သူက တိုက်ခိုက်မှုတစ်စိတ်တစ်ဒေသအဖြစ် Uber ၏ Database များနှင့် ပရိုဂရမ်၏ မူရင်းကုဒ်ကို ရယူခဲ့သည်ဟု နယူးယောက်တိုင်းမ်က အစီရင်ခံခဲ့သည်။

          ရှင်းလင်းစွာပြောရလျှင် အချက်အလက်များသည် ပြစ်မှုကျူးလွန်သူများထံမှဖြစ်ပြီး Uber မှ အတည်ပြုခြင်း မရှိသေးသလို Uber မှ ကျွန်ုပ်တို့၏တောင်းဆိုမှုကို တုံ့ပြန်ခြင်းမရှိပါ။

HackerOne ထံတင်မည့် လုံခြုံရေးအားနည်းချက်အစီရင်ခံစာ ပေါက်ကြားသွားခြင်း

          အဆိုပါတိုက်ခိုက်မှုအတွင်း ခြိမ်းခြောက်သူက ဒေတာများနှင့် ပရိုဂရမ်များ၏မူရင်းကုဒ်များ ခိုးယူသွားခြင်း ဖြစ်နိုင်သော်လည်း ၎င်းတို့သည် ထိုထက်ပို၍အရေးကြီးသောအရာများကိုလည်း ရယူခွင့်ရှိခဲ့သည်။

          Yuga Labs ၏ ဆိုက်ဘာလုံခြုံရေးအင်ဂျင်နီယာ ဆမ်ကာရီ၏ပြောကြားချက်အရ ဟက်ကာသည် HackerOne ၏ “ပြစ်ချက်ရှာ၊ ဆုကြေးယူ” ပရိုဂရမ်တွင် ကုမ္ပဏီအနေဖြင့် မှတ်ချက်ရေးသားနိုင်သည့် အရာများကို ရယူပိုင်ခွင့် ရှိခဲ့သည်။

 

Comment left by the hacker on HackerOne submissions

ဟက်ကာမှ HackerOne တွင် ရေးသားခဲ့သော မှတ်ချက်တစ်ခု

          ကာရီက သူ့အနေဖြင့် ပေါက်ကြားမှုနှင့်ပတ်သက်၍ ပထမဆုံးသိရှိခဲ့ရသည်မှာ လွန်ခဲ့သော နှစ်နှစ်ခန့်က Uber နှင့်ပတ်သက်သော သူ၏လုံခြုံရေးအားနည်းချက်သတင်းပို့မှုတွင် ဟက်ကာက အထက်ပုံပါမှတ်ချက်ပြုခဲ့မှုကြောင့် ဖြစ်ကြောင်း BleepingComputer သို့ ပြောခဲ့သည်။

          Uber အနေဖြင့် HackerOne ၏ “ပြစ်ချက်ရှာ၊ ဆုကြေးယူ” ပရိုဂရမ်တွင် ပူးပေါင်းပါဝင်လျက်ရှိပြီး လုံခြုံရေး သုတေသီများအား ၎င်းတို့၏စနစ်များနှင့် App များတွင် ဖြစ်ပေါ်နေသာ လုံခြုံရေးအားနည်းချက်ကို သိုသိပ်စွာဖြင့် သတင်းပို့စေကာ ဆုကြေးကိုလဲလှယ်ပေးပါသည်။ အဆိုပါလုံခြုံရေးအားနည်းချက်အစီရင်ခံစာများကို တိုက်ခိုက်သူများက အသုံးမချနိုင်စေရန်အတွက် ပြင်ဆင်ချက်မပြီးမချင်း လျှို့ဝှက်စွာထိန်းသိမ်းထားရသည်။

           ခြိမ်းခြောက်သူက ကုမ္ပဏီက HackerOne ထံသို့ အစီရင်ခံခဲ့သော သီးသန့်လုံခြုံရေးအစီရင်ခံချက်များအားလုံးကို ရရှိခဲ့ကြောင်း Uber ၏ဝန်ထမ်းတစ်ဦးက ပြောကြားခဲ့သည်ဟု ကာရီကနောက်ထပ်မျှဝေခဲ့သည်။

          တိုက်ခိုက်သူများသည် Uber ၏ ​“ပြစ်ချက်ရှာ၊ ဆုကြေးယူ” ပရိုဂရမ်အား ရယူခွင့် မဆုံးရှုံးခင်တွင် လုံခြုံရေးအားနည်းချက်အစီရင်ခံစာများအားလုံးကို Download လုပ်ယူသွားကြောင်း သတင်းရင်းမြစ်တစ်ခုက BleepingComputer သို့ ပြောကြားခဲ့ပါသည်။ ဖြစ်နိုင်သည်မှာ ၎င်းအစီရင်ခံစာများတွင် မပြင်ဆင်ရသေးသော လုံခြုံရေးအားနည်းချက်များပါနိုင်ပြီး Uber အတွက် ပြင်းထန်သောလုံခြုံရေးအန္တရာယ် ရှိနိုင်သည်။

          HackerOne သည် Uber ၏ ​“ပြစ်ချက်ရှာ၊ ဆုကြေးယူ” ပရိုဂရမ်အား ပိတ်ထားပြီး ဖော်ထုတ်တင်ပြခဲ့သော လုံခြုံရေးအားနည်းချက်များကို ကြည့်ရှုခွင့် ဖြတ်တောက်ထားသည်။

          မည်သို့ပင်ဆိုစေ ခြိမ်းခြောက်သူအနေဖြင့် လုံခြုံရေးအားနည်းချက်အစီရင်ခံစာများကို Download လုပ်ယူခဲ့ပြီး ငွေမြန်မြန်ပေါ်စေရန် အခြားသောခြိမ်းခြောက်နိုင်သူများထံ ရောင်းချခဲ့လျှင်ပင် အံ့ဩဖွယ်မဟုတ်ပါကြောင်း...

“Lawrence Abrams” ၏ “Uber hacked, internal systems breached and vulnerability reports stolen” ကို မြတ်သဇင်မွန် ဘာသာပြန်ဆိုသည်။