9月15日,Uber关键内部系统被一位18岁的黑客入侵,这起网络攻击事件已经得到Uber的证实。
黑客声称通过一位Uber员工的账户进入内网,访问了多个平台高等级特权的安全账户,并且获取了Uber数据库和源代码。值得注意的是,黑客据称已经下载了Uber的所有安全漏洞报告,其中包括尚未修复的漏洞,给Uber带来严重安全风险。
9月16日,Uber最新声明称,目前“没有证据”表明旅行记录等敏感用户数据被泄露,公司产品都在正常运行。
多个Uber关键系统被入侵,黑客还下载了所有漏洞报告
“我宣布我是一名黑客,Uber的数据已经遭到泄露。”根据Twitter上流传的一张截图,9月15日,黑客利用一名Uber员工的Slack账户发帖。他表示,Slack软件已经被入侵了,还列出了自称已经获取的几个内部数据库。
黑客入侵一位Uber员工的账号后在Slack软件上发帖。图自Twitter
许多Uber员工最初以为这只是个玩笑,对该帖的回复中有爆米花表情符号、蟹老板表情包以及流行GIF动图等。然而,他们很快意识到的确发生了网络攻击。一位自称Uber员工在社交软件上披露:“每当我(在Slack上)请求一个网站时,都会被带到一个界面,上面有一张色情图片,还写道‘去你的混蛋’。”
多家知名媒体,包括、与科技媒体,都已经与声称为此事负责的黑客取得联系。根据黑客发送的Uber内部系统截屏,被入侵的不仅有Slack服务器,还包括安全软件、亚马逊网络服务控制台、VMware vSphere/ESXI虚拟机、谷歌工作区电子邮件管理仪表盘等。黑客还声称访问了Uber数据库和源代码。安全专家表示,这些截屏说明黑客可以访问高等级特权的安全账户,这意味着能在公司内部得到广泛的操作权限。
此外,这名黑客还进入了Uber用于悬赏安全漏洞的HackerOne账户,并对所有的漏洞悬赏发表评论。HackerOne表示,已经将该账户锁定,并正协助Uber调查。然而,黑客据称已在权限失效前下载了所有报告,其中可能包括尚未修复的漏洞,给Uber带来了严重安全风险。
黑客用Uber在安全漏洞悬赏网站HackerOne上的账号发表评论
9月15日下午,Uber在Twitter上发帖证实了这起网络安全事件,称正在处理此事,并已经联系执法部门。为了调查黑客入侵的程度,Uber不得不暂时关闭Slacker在内的一些内部系统。两名Uber员工对《纽约时报》表示,员工被指示不要使用公司的内部通信软件Slack,结果发现其他内部系统无法访问。
《华盛顿邮报》当日看到的一份内部故障报告称,部分地区Uber客户无法打车或下单外卖,受影响地区包括美国乔治亚州的亚特兰大以及澳大利亚的布里斯班。不过,报告称此问题后来“得到了缓解”。
16日,Uber公布新的调查进展,称目前“没有证据”表明该事件涉及敏感用户数据如旅行历史记录等。Uber在声明中表示,所有服务包括Uber、Uber Eats、Uber Freight和Uber Driver等应用程序都在运行,并已经恢复了前一天为调查而关闭的软件访问权限。
18岁黑客通过“社工”获取内部权限
黑客是如何入侵Uber内部系统的?据黑客自称,他使用了一种叫做“社会工程攻击”(Social Engineering,简称SE,或“社工”)的策略,获取到一位Uber员工的登录凭证,通过VPN账号进入内网。
黑客入侵Uber全流程图。@BillDemirkapi
“社会工程攻击”是一种利用人为错误来获取私人信息、权限的网络犯罪,往往诱使毫无戒心的用户暴露数据、传播恶意软件,或访问受限制的系统。这种策略在最近非常流行,常被用于针对知名公司的攻击,Twitter、MailChimp、Robinhood和Okta都曾中招。
由于Uber账户的登录受到多因素身份验证(MFA)的保护,黑客使用了MFA疲劳攻击的手段,向一位Uber员工发送大量请求轰炸,持续了一个多小时。最后他假装是Uber的网络支持人员,通过社交媒体说服该员工接受请求,从而进入内网,对内部文件进行扫描以寻找敏感信息。
疑似黑客聊天记录截图,解释了如何通过身份验证。图自Bleeping Computer
黑客称,他们在内网中发现了一个PowerShell脚本,其中包含Thycotic特权访问管理(PAM)平台的管理员的用户名和密码。该平台被用于访问该公司其他内部服务,黑客因此能进入所有服务软件,包括DA, DUO, Onelogin, AWS, GSuite。
疑似黑客聊天记录,描述通过脚本获取PAM平台管理账号。图自Twitter
黑客告诉《纽约时报》,自己今年只有18岁,“已经学习网络安全技能好几年了”。他说,他之所以入侵Uber的系统,是因为该公司的安全措施薄弱。在Slack账户上发表的帖子中,他附上了#uberunderpaisdrives 的标签,据称是在表达对Uber司机工资过低的不满。
不过,这名黑客对《华盛顿邮报》的说法是,他们入侵该公司是为了好玩。并且,他们可能会在“几个月后”披露源代码。当被问及是否担心被捕时,他说他们不担心,因为住在美国之外。
这不是Uber第一次遭到黑客入侵。2016年,Uber曾因黑客攻击泄露了全球5700万人的个人信息,包括姓名、电子邮件地址和电话号码,还包括大约60万名美国司机的驾照信息。Uber当时选择私下向黑客支付10万美元。今年7月25日,Uber承认掩盖了这起黑客攻击事件,作为交换与美国检方达成不起诉协议。
综合/编译:实习生程雨祺 南都记者蒋琳