Uber证明被黑客侵略,暂无依据用户数据走漏
Uber证明被黑客侵略,暂无依据用户数据走漏
9月15日,Uber要害内部体系被一位18岁的黑客侵略,这起网络进犯事情现已得到Uber的证明。
黑客宣称经过一位Uber职工的账户进入内网,拜访了多个渠道高等级特权的安全账户,而且获取了Uber数据库和源代码。值得注意的是,黑客据称现已下载了Uber的一切安全缝隙陈述,其间包含没有修正的缝隙,给Uber带来严峻安全危险。
9月16日,Uber最新声明称,目前“没有依据”标明旅行记录等灵敏用户数据被走漏,公司产品都在正常运转。
多个Uber要害体系被侵略,黑客还下载了一切缝隙陈述
“我宣布我是一名黑客,Uber的数据现已遭到走漏。”根据Twitter上流传的一张截图,9月15日,黑客利用一名Uber职工的Slack账户发帖。他表明,Slack软件现已被侵略了,还列出了自称现已获取的几个内部数据库。
黑客侵略一位Uber职工的账号后在Slack软件上发帖。图自Twitter
许多Uber职工开始以为这仅仅个玩笑,对该帖的回复中有爆米花表情符号、蟹老板表情包以及流行GIF动图等。但是,他们很快意识到的确发生了网络进犯。一位自称Uber职工在交际软件上宣布:“每逢我(在Slack上)恳求一个网站时,都会被带到一个界面,上面有一张色情图片,还写道‘去你的混蛋’。”
多家闻名媒体,包含、与科技媒体,都现已与宣称为此事担任的黑客取得联系。根据黑客发送的Uber内部体系截屏,被侵略的不仅有Slack服务器,还包含安全软件、亚马逊网络服务控制台、VMware vSphere/ESXI虚拟机、谷歌工作区电子邮件办理仪表盘等。黑客还宣称拜访了Uber数据库和源代码。安全专家表明,这些截屏说明黑客能够拜访高等级特权的安全账户,这意味着能在公司内部得到广泛的操作权限。
此外,这名黑客还进入了Uber用于赏格安全缝隙的HackerOne账户,并对一切的缝隙赏格宣布评论。HackerOne表明,现已将该账户锁定,并正协助Uber查询。但是,黑客据称已在权限失效前下载了一切陈述,其间或许包含没有修正的缝隙,给Uber带来了严峻安全危险。
黑客用Uber在安全缝隙赏格网站HackerOne上的账号宣布评论
9月15日下午,Uber在Twitter上发帖证明了这起网络安全事情,称正在处理此事,并现已联系执法部门。为了查询黑客侵略的程度,Uber不得不暂时封闭Slacker在内的一些内部体系。两名Uber职工对《纽约时报》表明,职工被指示不要使用公司的内部通信软件Slack,成果发现其他内部体系无法拜访。
《华盛顿邮报》当日看到的一份内部故障陈述称,部分地区Uber客户无法打车或下单外卖,受影响地区包含美国乔治亚州的亚特兰大以及澳大利亚的布里斯班。不过,陈述称此问题后来“得到了缓解”。
16日,Uber公布新的查询进展,称目前“没有依据”标明该事情涉及灵敏用户数据如旅行历史记录等。Uber在声明中表明,一切服务包含Uber、Uber Eats、Uber Freight和Uber Driver等应用程序都在运转,并现已恢复了前一天为查询而封闭的软件拜访权限。
18岁黑客经过“社工”获取内部权限
黑客是怎么侵略Uber内部体系的?据黑客自称,他使用了一种叫做“社会工程进犯”(Social Engineering,简称SE,或“社工”)的战略,获取到一位Uber职工的登录凭证,经过VPN账号进入内网。
黑客侵略Uber全流程图。@BillDemirkapi
“社会工程进犯”是一种利用人为过错来获取私人信息、权限的网络犯罪,往往诱使毫无戒心的用户露出数据、传播恶意软件,或拜访受限制的体系。这种战略在最近十分流行,常被用于针对闻名公司的进犯,Twitter、MailChimp、Robinhood和Okta都曾中招。
因为Uber账户的登录遭到多因素身份验证(MFA)的维护,黑客使用了MFA疲惫进犯的手段,向一位Uber职工发送很多恳求轰炸,持续了一个多小时。最终他假装是Uber的网络支撑人员,经过交际媒体说服该职工承受恳求,从而进入内网,对内部文件进行扫描以寻找灵敏信息。
疑似黑客聊天记录截图,解说了怎么经过身份验证。图自Bleeping Computer
黑客称,他们在内网中发现了一个PowerShell脚本,其间包含Thycotic特权拜访办理(PAM)渠道的办理员的用户名和密码。该渠道被用于拜访该公司其他内部服务,黑客因此能进入一切服务软件,包含DA, DUO, Onelogin, AWS, GSuite。
疑似黑客聊天记录,描述经过脚本获取PAM渠道办理账号。图自Twitter
黑客告知《纽约时报》,自己本年只有18岁,“现已学习网络安全技能好几年了”。他说,他之所以侵略Uber的体系,是因为该公司的安全措施单薄。在Slack账户上宣布的帖子中,他附上了#uberunderpaisdrives 的标签,据称是在表达对Uber司机工资过低的不满。
不过,这名黑客对《华盛顿邮报》的说法是,他们侵略该公司是为了好玩。而且,他们或许会在“几个月后”宣布源代码。当被问及是否忧虑被捕时,他说他们不忧虑,因为住在美国之外。
这不是Uber第一次遭到黑客侵略。2016年,Uber曾因黑客进犯走漏了全球5700万人的个人信息,包含姓名、电子邮件地址和电话号码,还包含大约60万名美国司机的驾照信息。Uber其时选择私下向黑客付出10万美元。本年7月25日,Uber供认掩盖了这起黑客进犯事情,作为交换与美国检方达到不起诉协议。
