Attacco a Uber 2022: come la tecnica dell’MFA Fatigue ha aggirato la sicurezza aziendale
Il 15 settembre 2022 Uber ha confermato di aver subito un accesso non autorizzato ai propri sistemi interni. A prima vista potrebbe sembrare l’ennesimo data breach in un anno già segnato da numerosi incidenti. Tuttavia, l’elemento che rende questo caso particolarmente rilevante è la tecnica utilizzata: la cosiddetta MFA Fatigue.
Non si tratta di un exploit sofisticato o di una vulnerabilità zero-day, ma di un abuso psicologico di uno dei meccanismi di sicurezza più diffusi e raccomandati: l’autenticazione multifattore.
Cosa è successo il 15 settembre 2022
Secondo quanto comunicato dall’azienda, un attaccante è riuscito a ottenere le credenziali di un dipendente, probabilmente attraverso phishing o acquisto di credenziali compromesse.
A questo punto entra in gioco la parte più interessante dell’attacco.
L’account del dipendente era protetto da MFA tramite push notification. L’aggressore ha iniziato a inviare ripetute richieste di autenticazione al dispositivo della vittima. Notifica dopo notifica, nel tentativo di stancare o confondere l’utente.
Dopo numerosi tentativi, il dipendente ha approvato una delle richieste. L’attaccante ha così ottenuto accesso alla rete interna.
Questo metodo è noto come MFA fatigue attack o “push bombing”.
Perché l’MFA tradizionale non è sempre sufficiente
Negli ultimi anni l’autenticazione multifattore è stata considerata uno standard minimo di sicurezza. Ed è vero: nella maggior parte dei casi riduce drasticamente il rischio di compromissione.
Tuttavia, il caso Uber dimostra che non tutte le implementazioni MFA offrono lo stesso livello di protezione.
Le notifiche push, se non accompagnate da meccanismi contestuali o challenge più robuste, possono essere vulnerabili alla pressione psicologica. Un utente bombardato da notifiche potrebbe:
- Pensare a un errore tecnico
- Cliccare per interrompere le richieste
- Essere indotto con una telefonata fraudolenta a confermare l’accesso
La sicurezza, ancora una volta, si intreccia con il comportamento umano.
Accesso ai sistemi interni e impatto
Una volta entrato nella rete interna, l’attaccante ha pubblicato screenshot su social e forum, mostrando accesso a:
- Slack aziendale
- Console amministrative
- Strumenti di gestione infrastrutturale
Uber ha dichiarato di non aver riscontrato compromissione di dati sensibili degli utenti in quella fase, ma l’episodio ha evidenziato la criticità del controllo degli accessi interni.
Il fatto che un singolo account compromesso possa aprire la porta a strumenti centrali è un segnale che la segmentazione e il principio del least privilege devono essere costantemente rivalutati.
Il fattore psicologico nella cybersecurity
L’MFA fatigue non è un attacco tecnico sofisticato. È un attacco comportamentale.
Gli aggressori sfruttano:
- Stress lavorativo
- Routine ripetitive
- Mancanza di consapevolezza
- Urgenza artificiale
In alcuni casi documentati, gli attaccanti hanno contattato telefonicamente la vittima fingendosi membri del team IT, invitandola ad approvare la notifica per “risolvere un problema tecnico”.
Questo dimostra come social engineering e tecniche di autenticazione siano strettamente collegate.
Cosa cambia per le aziende dopo Uber 2022
Il caso Uber ha accelerato la discussione sull’efficacia delle diverse soluzioni MFA.
Sempre più organizzazioni stanno adottando:
- Autenticazione phishing-resistant
Token hardware FIDO2 o chiavi di sicurezza fisiche.
- MFA con number matching
Invece di un semplice “Approve”, l’utente deve inserire un codice visibile sullo schermo di login.
- Accesso condizionale basato su rischio
Valutazione di contesto, geolocalizzazione e comportamento anomalo.
- Formazione continua
Gli utenti devono sapere che richieste MFA non attese sono un segnale di possibile attacco.
Un attacco simbolo del 2022
Se il 2021 è stato l’anno delle vulnerabilità supply chain e zero-day critiche, il 2022 mostra un ritorno alla centralità del fattore umano.
L’attacco a Uber dimostra che anche con strumenti di sicurezza moderni, un errore di pochi secondi può aprire la porta a una compromissione significativa.
La tecnologia può essere avanzata, ma senza cultura della sicurezza resta fragile.
L’episodio del 15 settembre 2022 segna un passaggio importante nella maturità della cybersecurity aziendale. L’MFA non è più sufficiente se implementata in modo superficiale.
Le organizzazioni devono evolvere verso modelli di autenticazione più robusti e, soprattutto, investire nella consapevolezza degli utenti. Perché, come dimostra il caso Uber, la sicurezza non si rompe sempre con un exploit sofisticato: a volte basta un clic fatto nel momento sbagliato.
