“我声明我是一名黑客,Uber遭受了数据泄露。”9月15日,一名黑客侵入了一名Uber员工的办公通讯应用Slack,并发布了上述消息。次日,据多家外媒报道,这家国际网约车巨头证实其系统遭到黑客攻击,但不清楚黑客获取了哪些内部数据。因为这次攻击,Uber下线了部分系统功能,对业务造成了一定的影响。根据当天看到的一份内部故障报告,部分地区的优步客户暂时无法打车或订餐。受影响地区包括美国佐治亚州亚特兰大和澳大利亚布里斯班。在发布的信息中,黑客还列举了多处泄露的内部数据库信息,进而访问了其他内部系统。当员工访问Slack上的其他内部信息时,他们将被重定向到一张色情图片。Uber随后紧急关闭了Slack和部分工程系统,但在9月16日的调查进展中表示,该公司所有服务均正常运行,没有证据表明用户出行记录等敏感信息参与了此次攻击。事发后,优步已第一时间报警。然而,分析表明情况可能并非如此。独立安全研究员BillDemirkapi认为,“没有证据”可能意味着黑客确实有访问权限,而Uber只是没有证据可以验证。攻击详情据悉,《纽约时报》、《华盛顿邮报》、BleepingComputer等媒体已联系到自称对此次事件负责的黑客。《纽约时报》表示,黑客在对一名优步员工进行社交工程并窃取了他的账户密码后,实施了此次入侵。根据黑客与BleepingComputer分享的截图,黑客似乎已经访问了Uber的多个关键IT系统,包括安全软件和Windows域,以及AmazonWebServices控制台、VMwarevSphere/ESXi虚拟机和用于管理Uber的电子邮件.该帐号的GoogleWorkspace管理员信息中心。Uber攻击路线图此外,黑客还侵入了Uber用于奖励安全漏洞的HackerOne账户,下载了HackerOne封禁账户前的所有漏洞报告,其中可能包括一些尚未修复的漏洞。如果这些漏洞被恶意利用,将对优步构成巨大的安全威胁。虽然目前还不清楚黑客的具体动机,但据悉,该黑客是一名18岁少年,利用社会工程学和MFA疲劳攻击成功攻破了巨人的安全防御。黑客声称使用了MFA疲劳攻击根据安全研究人员与这名青少年的对话,他试图以Uber员工身份登录,但由于Uber账户受多因素身份验证保护,因此使用了MFA疲劳攻击并伪装成成为优步IT支持,以说服员工接受MFA请求。MFA疲劳攻击是指向目标重复进行身份验证请求,直到受害者感到疲倦并接受为止。然后,他继续通过公司VPN登录到内部网络,并开始扫描公司内部网络以查找敏感信息。在这样做时,他发现了一个PowerShell脚本,其中包含公司Thycotic特权访问管理(PAM)平台的管理员凭据,该平台用于访问公司其他内部服务的登录密码。这次攻击很容易让人联想到这家巨头在2016年发生的另一起大规模数据泄露事件,涉及约5700万乘客和司机以及约60万美国公民的姓名、电话号码和电子邮件地址。驾照信息。事件发生后,该公司向黑客支付了价值100,000美元的比特币,使事件在下一年没有被曝光。安全管理上的疏忽让社工潜入。在这次对Uber的攻击中,我们又一次经历了持久而无孔不入的社会工程学。近年来,包括Twitter、Cloudflare、LastPass在内的巨头公司都深受其影响。有害。在2020年7月推特历史上最大的安全事件中,黑客贿赂了至少一名内部员工,获得了大量大V账号权限,导致数名政要、知名企业和个人账号遭到黑客攻击。因为社会工程学门槛低,容易掌握,18岁的黑客也能熟练运用。他在与《纽约时报》的交流中表示,自己学习网络安全技能已有数年之久,之所以黑掉Uber系统,是因为该公司的安全措施薄弱,这也从侧面反映出该公司有一个网络安全管理存在巨大疏漏。黑莓威胁研究和情报副总裁IsmaelValenzuelaEspejo表示,在防止APT攻击方面投入了大量精力,这忽略了其他威胁因素,例如内部人员。企业在建立威胁模型时,应该评估这些内部人员如果自身的能力和技能水平有意或无意地参与对企业的攻击,会对企业造成多大的危害。这也说明基于密码的认证是账户安全的薄弱环节,时间敏感的一次性验证码(TOTP)已经不足以维护2FA的安全性。当前的一种解决方案是使用符合FIDO2标准的反网络钓鱼物理安全密钥,它无需使用密码,而是使用外部硬件设备来处理身份验证信息。此外,专家还建议MFA服务商引入一种机制,在短时间内收到大量验证请求时默认自动临时锁定账户,以限制非法登录。ElevateSecurity联合创始人兼总裁MashaSedova也在一份声明中表示,一家公司的安全水平取决于其安全意识最低的员工,并认为安全培训需要将安全风险最高的员工与更具体的保护联系起来控制。措施相结合。旧戏会重演吗?2020年8月,Uber前首席安全官乔·沙利文(JoeSullivan)因涉嫌在2016年重大数据泄露事件中试图掩盖事件和妨碍司法公正而在联邦法院受到刑事指控,并在2021年底被附加了三项电汇罪名。诈骗罪指控他计划向两名黑客支付巨额“封口费”以掩盖事件。根据美国联邦政府提供的详细信息,事件发生后,沙利文试图使用漏洞赏金计划向黑客付款,该计划使用第三方中介向所谓的“白帽”黑客付款,他们说这些黑客没有泄露数据。法庭网站。案例中指出了一个安全问题。优步最终在2016年12月向黑客支付了价值100,000美元的比特币。此外,沙利文试图让黑客签署保密协议,其中包含黑客没有获得或存储任何数据的虚假陈述。2017年11月,优步的新管理层终于向美国联邦贸易委员会(FTC)披露了真相。巧合的是,就在9月15日袭击事件发生的次日,UberCEO达拉·科斯罗萨西(DaraKhosrowshahi)参加了美国检方对沙利文相关指控的审理,可谓一波未平一波。这一次,优步是否会及时公开透明地处理,还是个未知数,这在很大程度上取决于后续的调查评估工作。但Acronis首席信息安全官凯文里德表示:“与2016年的事件相比,这种妥协的可能性更大,黑客可能已经获取了数据,无论Uber是否声称数据安全。”
