Uber & Thycotic: Kho chứa mật khẩu có phải là lỗ hổng bảo mật lớn không?

Rất thường khi mọi người nói về bảo mật, cuộc thảo luận về các trình quản lý mật khẩu hoặc kho tiền xuất hiện. Những điều này có thể hữu ích cho các cá nhân. Tuy nhiên, chúng mang lại một số rủi ro thực sự cho các công ty, nếu chúng không được xem xét cẩn thận.

Uber gần đây đã bị vi phạm , và bởi tất cả các tài khoản từ kẻ tấn công. Một hệ thống kho mật khẩu có tên Thycotic đã ra đời rất nhiều cùng với một số biện pháp khác được thiết kế để bổ sung thay vì loại bỏ bảo mật.

Có một số điều tôi muốn bắt đầu:

• bản thân công nghệ và công cụ không có lỗi ở đây, thay vào đó là do việc triển khai chúng và thiết kế hệ thống của Uber rộng hơn
• trình quản lý mật khẩu và kho lưu trữ được sử dụng thay thế cho nhau, nhưng thông thường kho mật khẩu sẽ là một hệ thống doanh nghiệp cho một công ty để bảo vệ thông tin đăng nhập trên toàn doanh nghiệp hơn là cho một người dùng duy nhất.
• bảo mật rất phức tạp và khi nó không được thiết kế ngay từ đầu, bạn sẽ có nhiều lỗ hổng bảo mật lớn có nghĩa là một sai sót nhỏ nhất có thể trở thành một vi phạm lớn với rất ít thông báo

Điều gì đã xảy ra trong vụ hack Uber?

Chúng tôi bắt đầu với sự mệt mỏi về thông báo. Kẻ tấn công, được cho là "TeaPot" 17 tuổi đến từ Vương quốc Anh đã tìm thấy thông tin đăng nhập (có thể được mua trực tuyến) của một nhà thầu Uber và bắt đầu gửi yêu cầu xác thực đa yếu tố cho họ liên tục. Điều này đang nhanh chóng trở thành một cuộc tấn công phổ biến, chỉ đơn giản là cố gắng làm phiền mọi người chấp nhận thông báo, mặc dù trong trường hợp này, họ cũng đã gửi một tin nhắn qua WhatsApp khẳng định là từ Uber IT và nói với nhà thầu rằng đã xảy ra lỗi và nếu họ chấp nhận thông báo nó sẽ dừng các cảnh báo.

Sau khi nhà thầu chấp nhận cảnh báo TeaPot tuyên bố đã truy cập vào mạng nội bộ và tìm thấy tập lệnh có thông tin đăng nhập quản trị viên cho Thycotic Secrets Vault mà Uber sử dụng để quản lý thông tin đăng nhập của họ.

Thông tin đăng nhập quản trị có thể có nghĩa là mọi thứ trong kho mật khẩu đều có sẵn cho kẻ tấn công và đây dường như là những gì đã xảy ra. Được cho là nó bao gồm quyền truy cập vào chương trình tiền thưởng lỗi, có nghĩa là TeaPot đã giành được quyền truy cập vào các lỗ hổng chưa được khắc phục trong các ứng dụng và hệ thống của Uber.

Vậy các hầm chứa mật khẩu có xấu không?

Đây là vấn đề. Bảo mật rất phức tạp và quản lý thông tin đăng nhập rất khó khăn. Ở quy mô hoạt động của Uber và các kỳ lân khác, nhiều công ty không được xây dựng để bảo mật ngay từ đầu mà họ đang làm việc hiệu quả trên nền tảng cát lún. Cố gắng hoàn thiện bảo mật vào các hệ thống chưa từng được thiết kế cho nó trong khi vẫn cố gắng hoạt động như một doanh nghiệp và theo kịp nhu cầu của nhà đầu tư.

Kho mật khẩu như Thycotic không phải là một ý tưởng tồi, nhưng điều gì sẽ giúp ích cho trường hợp của Uber? Bạn sẽ thấy rất nhiều cuộc thảo luận về các nguyên tắc không tin cậy, có nghĩa là không tin tưởng bất kỳ thiết bị nào trong mạng để truy cập bất kỳ thứ gì, nhưng trong khi các nguyên tắc này được nói đến rất nhiều, chúng rất khó thực hiện nếu chúng không được tích hợp sẵn từ bắt đầu.

Không có kho mật khẩu là một tùy chọn khác và điều đó có thể hữu ích đơn giản vì nó sẽ có nghĩa là ít có khả năng có tất cả các thông tin đăng nhập đó ở một nơi. Mặt khác, điều đó có nghĩa là người dùng có nhiều khả năng sử dụng mật khẩu yếu ngay từ đầu và lưu trữ chúng theo những cách không an toàn như trên bảng tính hoặc tệp văn bản.

Nếu chúng được triển khai đúng cách, kho mật khẩu giúp quản lý các hệ thống an toàn dễ dàng hơn rất nhiều cho người dùng. Lỗi thực sự ở đây là ngay từ đầu đã có thông tin đăng nhập quản trị vào kho mật khẩu, thay vào đó, các tài khoản cá nhân chỉ nên được tạo với quyền truy cập vào thông tin đăng nhập mà họ cần. Không một nhà thầu bên ngoài nào, cho dù đáng tin cậy đến đâu, lại có quyền truy cập vào cấp độ thông tin đó - họ chỉ đơn giản là không cần nó.

Tôi sẽ không thấy thoải mái ngay cả với những nhân viên đáng tin cậy nhất có quyền truy cập như vậy. Đó là kiểu bạn chia thành nhiều mảnh, rải giữa một số thành viên trong hội đồng quản trị và khóa an toàn trong trường hợp khẩn cấp, chẳng hạn như toàn bộ nhóm CNTT của bạn bị người ngoài hành tinh bắt cóc.

Tôi có nên sử dụng kho mật khẩu không?

Một điều xuất hiện sau cuộc tấn công là rất nhiều nhà cung cấp sản phẩm bảo mật đã bán giải pháp của họ như một giải pháp duy nhất và chỉ có điều đó mới ngăn chặn được nó. Tốt nhất, những điều này nên được bỏ qua hoàn toàn, vì những điểm yếu dẫn đến vi phạm là (và hầu như luôn luôn) phức tạp và nhiều mặt mà không có cách sửa chữa dễ dàng. Vấn đề còn lại là rất nhiều người đặt câu hỏi liệu kho mật khẩu hoặc trình quản lý có đột nhiên là một rủi ro mới và lớn để thực hiện hay không và liệu chúng có an toàn để sử dụng hay không.

Hình ảnh qua

Câu trả lời đơn giản là có, nếu nó hữu ích và có ý nghĩa với bạn. Kho tiền được thiết lập tốt cho phép bạn sử dụng mật khẩu an toàn hơn nhiều, xoay chúng thường xuyên và quản lý chúng tốt. Nhiều hầm bí mật doanh nghiệp sẽ thay đổi mật khẩu sau mỗi lần sử dụng và quản lý nhiều hơn thông tin đăng nhập của người dùng như chứng chỉ và các khóa riêng tư khác.

Câu trả lời phức tạp hơn là bất kỳ công cụ nào bạn sử dụng để đơn giản hóa bảo mật đều sẽ dẫn đến sự đánh đổi và rủi ro của chính chúng đối với môi trường. Kho lưu trữ mật khẩu sẽ cung cấp cho bạn mật khẩu an toàn hơn và quản lý thông tin đăng nhập tốt hơn, nhưng đánh đổi là tất cả các thông tin đăng nhập này ở cùng một nơi khiến nó trở thành mục tiêu hấp dẫn cho kẻ tấn công và có thể khiến một vi phạm nhỏ trở nên nghiêm trọng hơn nhanh chóng.