बेंगलुरु, 26 सितम्बर (आईएएनएस)। साइबर-सुरक्षा शोधकर्ताओं ने खुलासा किया है कि उबर के सुरक्षा गेटवे में बुनियादी खामियां थीं क्योंकि सोशल इंजीनियरिंग को प्रारंभिक हमले वेक्टर के रूप में नियोजित किया गया था, जिससे हैक कई स्तरों पर विफलता का एक उत्कृष्ट मामला बन गया।सोशल इंजीनियरिंग में फिशिंग, प्रीटेक्स्टिंग और बैटिंग जैसी ऑनलाइन मानव बातचीत के माध्यम से दुर्भावनापूर्ण गतिविधियों का एक व्यापक स्पेक्ट्रम शामिल है।
एआई-संचालित साइबर-सुरक्षा फर्म क्लाउडएसईके के अनुसार, इस हैक का उबर पर जबरदस्त प्रभाव पड़ा, जो एप्लिकेशन कोड की अस्पष्टता से शुरू हुआ, एप्लिकेशन की उपयोगिता में बाधा, लीक हुई साख और एक्सेस जो कई खाता अधिग्रहण और इकाई की संवेदनशील और महत्वपूर्ण जानकारी को लीक करने की सुविधा प्रदान कर सकता था।
फर्म के शोधकर्ताओं ने जोर देकर कहा, दुर्भावनापूर्ण ठगों को परिष्कृत रैंसमवेयर हमलों को लॉन्च करने, डेटा को बाहर निकालने और दृढ़ता बनाए रखने के लिए आवश्यक विवरणों से लैस करना, उबर के लिए प्रतिष्ठित क्षति का उल्लेख नहीं करना है।
सवारी करने वाली प्रमुख उबर ने पिछले हफ्ते अपने आंतरिक सिस्टम पर साइबर हमले के लिए कुख्यात लैप्सस हैकिंग समूह को दोषी ठहराया था। कंपनी ने दोहराया कि उल्लंघन के दौरान किसी भी ग्राहक या उपयोगकर्ता डेटा से समझौता नहीं किया गया था।
क्लाउडसेक के साइबर थ्रेट रिसर्चर अभिनव पांडे ने कहा, उबर हैक कई स्तरों पर विफलता का एक उत्कृष्ट मामला है जहां अधिक विशेषाधिकार या विशेषाधिकार कुप्रबंधन एक महत्वपूर्ण भूमिका निभाता है। डार्कवेब और सरफेस वेब मॉनिटरिंग के अलावा, विशेषाधिकार वृद्धि पथ को समाप्त करना या खातों में पहुंच परिवर्तनों की निगरानी शमन के प्रारंभिक उत्तर हो सकते हैं।
उबर से जुड़ी भेद्यता रिपोर्ट तक पहुंचने के लिए धमकी देने वाला ठग एक कर्मचारी के हैकरवन अकाउंट से समझौता करने में सक्षम था।
दावों की वैधता प्रदर्शित करने के लिए, हैकर ने कंपनी के हैकरवन पेज पर अनधिकृत संदेश पोस्ट किए।
साइबर सुरक्षा शोधकर्ताओं ने कहा, इसके अलावा, हमलावर ने उबर के आंतरिक वातावरण के कई स्क्रीनशॉट भी साझा किए हैं, जिसमें उनके जीड्राइव, वीसेंटर, बिक्री मेट्रिक्स, स्लैक और ईडीआर पोर्टल शामिल हैं।
हैकर ने उबर के बुनियादी ढांचे से समझौता करने के लिए प्रारंभिक हमले वेक्टर के रूप में सोशल इंजीनियरिंग तकनीकों का प्रयोग किया। कई क्रेडेंशियल्स तक पहुंच प्राप्त करने के बाद, हैकर ने समझौता पीड़ित के वीपीएन एक्सेस का फायदा उठाया।
शोधकर्ताओं ने बताया, इसने हैकर को उबर की डुओ, वनलॉगिन, एडब्ल्यूएस, जीसुइट वर्कस्पेस इत्यादि जैसी इकाई की कई सेवाओं तक पूर्ण पहुंच प्रदान की।
लैप्सस आम तौर पर प्रौद्योगिकी कंपनियों को लक्षित करने के लिए समान तकनीकों का उपयोग करता है और इस वर्ष इसने माइक्रोसॉफ्ट (NASDAQ:MSFT), सिस्को, सैमसंग, एनवीडिया और ओक्टा, और अन्य का उल्लंघन किया।
--आईएएनएस
एसकेके/एएनएम