9月15日,Uber關鍵内部系統被一位18歲的黑客入侵,這起網絡攻擊事件已經得到Uber的證明。
黑客聲稱通過一位Uber員工的賬戶進入内網,通路了多個平台高等級特權的安全賬戶,并且擷取了Uber資料庫和源代碼。值得注意的是,黑客據稱已經下載下傳了Uber的所有安全漏洞報告,其中包括尚未修複的漏洞,給Uber帶來嚴重安全風險。
9月16日,Uber最新聲明稱,目前“沒有證據”表明旅行記錄等敏感使用者資料被洩露,公司産品都在正常運作。
多個Uber關鍵系統被入侵,黑客還下載下傳了所有漏洞報告
“我宣布我是一名黑客,Uber的資料已經遭到洩露。”根據Twitter上流傳的一張截圖,9月15日,黑客利用一名Uber員工的Slack賬戶發帖。他表示,Slack軟體已經被入侵了,還列出了自稱已經擷取的幾個内部資料庫。
黑客入侵一位Uber員工的賬号後在Slack軟體上發帖。圖自Twitter
許多Uber員工最初以為這隻是個玩笑,對該帖的回複中有爆米花表情符号、蟹老闆表情包以及流行GIF動圖等。然而,他們很快意識到的确發生了網絡攻擊。一位自稱Uber員工在社交軟體上披露:“每當我(在Slack上)請求一個網站時,都會被帶到一個界面,上面有一張色情圖檔,還寫道‘去你的混蛋’。”
多家知名媒體,包括《紐約時報》、《華盛頓郵報》與科技媒體Bleeping Computer,都已經與聲稱為此事負責的黑客取得聯系。根據黑客發送的Uber内部系統截屏,被入侵的不僅有Slack伺服器,還包括安全軟體、亞馬遜網絡服務控制台、VMware vSphere/ESXI虛拟機、谷歌工作區電子郵件管理儀表盤等。黑客還聲稱通路了Uber資料庫和源代碼。安全專家表示,這些截屏說明黑客可以通路高等級特權的安全賬戶,這意味着能在公司内部得到廣泛的操作權限。
此外,這名黑客還進入了Uber用于懸賞安全漏洞的HackerOne賬戶,并對所有的漏洞懸賞發表評論。HackerOne表示,已經将該賬戶鎖定,并正協助Uber調查。然而,黑客據稱已在權限失效前下載下傳了所有報告,其中可能包括尚未修複的漏洞,給Uber帶來了嚴重安全風險。
黑客用Uber在安全漏洞懸賞網站HackerOne上的賬号發表評論
9月15日下午,Uber在Twitter上發帖證明了這起網絡安全事件,稱正在處理此事,并已經聯系執法部門。為了調查黑客入侵的程度,Uber不得不暫時關閉Slacker在内的一些内部系統。兩名Uber員工對《紐約時報》表示,員工被訓示不要使用公司的内部通信軟體Slack,結果發現其他内部系統無法通路。
《華盛頓郵報》當日看到的一份内部故障報告稱,部分地區Uber客戶無法打車或下單外賣,受影響地區包括美國喬治亞州的亞特蘭大以及澳洲的布裡斯班。不過,報告稱此問題後來“得到了緩解”。
16日,Uber公布新的調查進展,稱目前“沒有證據”表明該事件涉及敏感使用者資料如旅行曆史記錄等。Uber在聲明中表示,所有服務包括Uber、Uber Eats、Uber Freight和Uber Driver等應用程式都在運作,并已經恢複了前一天為調查而關閉的軟體通路權限。
18歲黑客通過“社工”擷取内部權限
黑客是如何入侵Uber内部系統的?據黑客自稱,他使用了一種叫做“社會工程攻擊”(Social Engineering,簡稱SE,或“社工”)的政策,擷取到一位Uber員工的登入憑證,通過VPN賬号進入内網。
黑客入侵Uber全流程圖。@BillDemirkapi
“社會工程攻擊”是一種利用人為錯誤來擷取私人資訊、權限的網絡犯罪,往往誘使毫無戒心的使用者暴露資料、傳播惡意軟體,或通路受限制的系統。這種政策在最近非常流行,常被用于針對知名公司的攻擊,Twitter、MailChimp、Robinhood和Okta都曾中招。
由于Uber賬戶的登入受到多因素身份驗證(MFA)的保護,黑客使用了MFA疲勞攻擊的手段,向一位Uber員工發送大量請求轟炸,持續了一個多小時。最後他假裝是Uber的網絡支援人員,通過社交媒體說服該員工接受請求,進而進入内網,對内部檔案進行掃描以尋找敏感資訊。
疑似黑客聊天記錄截圖,解釋了如何通過身份驗證。圖自Bleeping Computer
黑客稱,他們在内網中發現了一個PowerShell腳本,其中包含Thycotic特權通路管理(PAM)平台的管理者的使用者名和密碼。該平台被用于通路該公司其他内部服務,黑客是以能進入所有服務軟體,包括DA, DUO, Onelogin, AWS, GSuite。
疑似黑客聊天記錄,描述通過腳本擷取PAM平台管理賬号。圖自Twitter
黑客告訴《紐約時報》,自己今年隻有18歲,“已經學習網絡安全技能好幾年了”。他說,他之是以入侵Uber的系統,是因為該公司的安全措施薄弱。在Slack賬戶上發表的文章中,他附上了#uberunderpaisdrives的标簽,據稱是在表達對Uber司機工資過低的不滿。
不過,這名黑客對《華盛頓郵報》的說法是,他們入侵該公司是為了好玩。并且,他們可能會在“幾個月後”披露源代碼。當被問及是否擔心被捕時,他說他們不擔心,因為住在美國之外。
這不是Uber第一次遭到黑客入侵。2016年,Uber曾因黑客攻擊洩露了全球5700萬人的個人資訊,包括姓名、電子郵件位址和電話号碼,還包括大約60萬名美國司機的駕照資訊。Uber當時選擇私下向黑客支付10萬美元。今年7月25日,Uber承認掩蓋了這起黑客攻擊事件,作為交換與美國檢方達成不起訴協定。
綜合/編譯:實習生程雨祺 南都記者蔣琳