繼5700萬條資料洩露後,網約車巨頭Uber承認再遭黑客攻擊

語言: CN / TW / HK

週四下午,網約車巨頭Uber遭黑客攻擊,內部系統被攻破,漏洞報告被盜。Uber已證實此次攻擊,並在推特上發文稱他們正在與執法部門聯絡。2016年,Uber也曾發生黑客攻擊事件,導致 5700 萬用戶和司機的個人資料受到影響。今年7月,Uber和美國檢方達成和解協議,宣佈為這次事件承擔責任,同時也避免了檢方的刑事罪名指控。

通過社工入侵內部系統

據悉,在此次攻擊事件中,黑客竊取了漏洞報告,並分享了Uber的內部系統、郵件儀表板和Slack伺服器截圖。根據黑客分享的截圖顯示,他 可以進入Uber的許多關鍵IT系統,包括該公司的安全軟體和Windows域。黑客還訪問了Uber的AWS控制檯、VMware ESXi虛擬機器、Google Workspace郵件儀表板和Slack伺服器。

《紐約時報》最早對這一事件進行了報道,並與攻擊者進行了交談。攻擊者表示,他是通過對一名員工進行社工後竊取他們的密碼,然後入侵了Uber。然後,威脅者利用竊取的憑證進入了公司的內部系統。

HackerOne漏洞報告失竊

在這次攻擊中,攻擊者有可能竊取了Uber的資料和原始碼,同時也獲得了可能是更有價值的資產——HackerOne漏洞賞金專案的所有漏洞報告。根據Yuga實驗室安全工程師Sam Curry表示,攻擊者訪問了HackerOne漏洞賞金專案,並對所有漏洞賞金票據進行了評論。

黑客在HackerOne提交頁面留下的評論

(來源:Sam Curry)

HackerOne是Uber執行一個漏洞賞金專案,可以讓安全研究人員私下向Uber披露其系統和應用程式中的漏洞,以換取金錢上的漏洞賞金獎勵。 這些漏洞報告在釋出修復方案前是保密的,以防止攻擊者在攻擊中利用這些漏洞。

還有訊息稱,黑客下載了Uber漏洞賞金專案的所有漏洞報告,包括尚未修復的漏洞報告,這給Uber帶來了嚴重的安全風險。目前,HackerOne已經禁用了漏洞賞金專案,使用者已無法訪問所披露的漏洞。但如果黑客已經下載了這些漏洞報告,很可能將其出售給其他攻擊者以快速實現攻擊變現。

青藤建議:持續強化人員網路安全意識

人是安全防護體系中最薄弱的一環。網路安全攻防的較量歸根結底是人的較量,所有的技術體系也都離不開人的使用。在最近針對知名公司的攻擊中,包括Twitter、MailChimp、Robinhood和Okta,社工已經成為一種非常流行的戰術。為此,務必要加強安全意識宣導,持續強化人員網路安全意識,讓人成為網路安全縱深防禦體系中很重要的一道防線。

參考資料:

1.http://www.bleepingcomputer.com/news/security/uber-hacked-internal-systems-breached-and-vulnerability-reports-stolen/

2.http://view.inews.qq.com/a/20220725A02SHB00

-完-