“我宣布我是一名黑客，Uber 已經(jīng)遭遇數(shù)據(jù)泄露?！?/p>

9月15日，一名黑客侵入了一名優(yōu)步員工的辦公通訊應(yīng)用 Slack，發(fā)布了如上信息。次日，根據(jù)多家外國媒體報道，這家國際網(wǎng)約車巨頭證實其系統(tǒng)遭到了黑客攻擊，但尚不清楚黑客訪問了哪些內(nèi)部數(shù)據(jù)。

因為此次攻擊，優(yōu)步下線了部分系統(tǒng)功能，給業(yè)務(wù)帶來一定影響。據(jù)《華盛頓郵報》當(dāng)日看到的一份內(nèi)部故障報告稱，部分地區(qū)從優(yōu)步客戶一度無法打車或下單外賣，受影響地區(qū)包括美國喬治亞州的亞特蘭大以及澳大利亞的布里斯班。

在發(fā)布的信息中，這名黑客還列舉了幾個已經(jīng)泄露的內(nèi)部數(shù)據(jù)庫信息，并在隨后訪問了其他內(nèi)部系統(tǒng)，當(dāng)員工在Slack上訪問其他內(nèi)部信息時，會被跳轉(zhuǎn)至一張色情圖片。

優(yōu)步隨后緊急關(guān)閉了 Slack及部分工程系統(tǒng)，但在9月16日的調(diào)查進(jìn)展中表示，公司所有服務(wù)已正常運行，此次攻擊也沒有證據(jù)表明涉及到用戶的出行記錄等敏感信息。優(yōu)步已在事發(fā)后第一時間報警。

但有分析表明，實際情況可能并非如此。獨立安全研究員Bill Demirkapi認(rèn)為，“沒有證據(jù)”可能意味著黑客確實擁有訪問權(quán)限，優(yōu)步只是沒有找到證據(jù)進(jìn)行核實。

攻擊細(xì)節(jié)

據(jù)悉，包括《紐約時報》、《華盛頓郵報》、Bleeping Computer在內(nèi)的媒體均與聲稱為此事負(fù)責(zé)的黑客取得了聯(lián)系。《紐約時報》表示，黑客對一名優(yōu)步員工進(jìn)行社會工程攻擊并竊取了其賬戶密碼后實施了入侵。根據(jù)黑客分享給Bleeping Computer的截圖顯示，黑客似乎訪問了優(yōu)步多項關(guān)鍵的IT系統(tǒng)，包括安全軟件和 Windows 域，以及 Amazon Web Services 控制臺、VMware vSphere/ESXi 虛擬機(jī)、用于管理 Uber 電子郵件帳戶的 Google Workspace 管理后臺。

優(yōu)步攻擊事件路徑圖

此外，黑客還一并侵入了優(yōu)步用于懸賞安全漏洞的HackerOne賬戶，并在HackerOne封禁該賬戶前下載了所有漏洞報告，這其中可能包括一些尚未修復(fù)的漏洞，如果這些漏洞被惡意利用，將會給優(yōu)步帶來巨大的安全威脅。

雖然目前尚不清楚黑客的具體動機(jī)，但據(jù)悉，這名黑客是一名年僅18歲的少年，利用社會工程學(xué)及MFA疲勞攻擊成功打破了這家巨頭的安全防線。

黑客聲稱使用了MFA疲勞攻擊

根據(jù)安全研究員與這名少年的交談中得知，他試圖以優(yōu)步員工的身份登錄，但由于優(yōu)步帳戶受到多因素身份驗證的保護(hù)，因此使用了 MFA 疲勞攻擊并偽裝成優(yōu)步 IT 支持人員來說服員工接受 MFA 請求。MFA 疲勞攻擊是指向目標(biāo)發(fā)出重復(fù)的驗證請求，直到受害者厭倦并接受。隨后，他繼續(xù)通過公司 VPN 登錄到內(nèi)部網(wǎng)絡(luò)，并開始掃描公司的內(nèi)部網(wǎng)以獲取敏感信息。期間，他發(fā)現(xiàn)了一個 PowerShell 腳本，其中包含公司 Thycotic 特權(quán)訪問管理 (PAM) 平臺的管理員憑證，該平臺用于訪問公司其他內(nèi)部服務(wù)的登錄密碼。

這起攻擊事件很容易讓人聯(lián)想起這家巨頭企業(yè)在2016年發(fā)生的另一起大規(guī)模數(shù)據(jù)泄露事件，涉及約5700萬名乘客和司機(jī)的姓名、電話號碼及電子郵件地址以及約 60 萬名美國司機(jī)的駕照信息。事發(fā)后，公司向黑客支付了價值10萬美元比特幣，使得該事件在隨后一年內(nèi)并未被曝光。

安全管理疏忽讓社工趁虛而入

在此次針對優(yōu)步的攻擊事件中，我們再次領(lǐng)略到了社會工程學(xué)的長久不衰、無孔不入，近年來，包括Twitter、Cloudflare、LastPass等巨頭企業(yè)都深受其害。在2020年7月發(fā)生的堪稱Twitter史上最大規(guī)模安全事件中，黑客買通至少一位內(nèi)部員工，獲得了大量大V賬號權(quán)限，導(dǎo)致包括多位政要、知名公司及個人賬號被黑。

由于社會工程學(xué)門檻較低，易于掌握，以至于這位18歲的少年黑客也能熟練運用，他在與《紐約時報》的交流中表示，自己學(xué)習(xí)網(wǎng)絡(luò)安全技能已經(jīng)好幾年，之所以入侵優(yōu)步的系統(tǒng)，是因為該公司的安全措施薄弱，這也從側(cè)面反映了企業(yè)在網(wǎng)絡(luò)安全管理上存在巨大疏漏。

BlackBerry 威脅研究和情報副總裁 Ismael Valenzuela Espejo 表示，目前人們在防范APT攻擊上投入了大量精力，從而忽視了其他威脅因素，比如內(nèi)部人員。企業(yè)在建立威脅模型時，應(yīng)該評估當(dāng)這些內(nèi)部人員有意或無意參與到對企業(yè)的攻擊行為中時，其自身能力和技能水平會對企業(yè)產(chǎn)生多大的危害。

這也同時表明，基于密碼的身份驗證是賬戶安全中的一塊薄弱環(huán)節(jié)，有驗證時效的一次性驗證碼 (TOTP) 已不足以維持2FA的安全性。目前的一種解決方法是使用符合FIDO2標(biāo)準(zhǔn)的防釣魚物理安全密鑰，它不再使用密碼，而由一個外部硬件設(shè)備來處理驗證信息。此外，專家也建議MFA服務(wù)商出臺一種機(jī)制，當(dāng)短時間內(nèi)收到大量驗證請求時能夠默認(rèn)自動暫時鎖定賬戶，以此來限制非法登錄。

Elevate Security 的聯(lián)合創(chuàng)始人兼總裁 Masha Sedova 在一份聲明中也表示，一家公司的安全水平與取決于其中安全意識最差的員工，認(rèn)為安全培訓(xùn)需要讓安全風(fēng)險最高的員工與更具體的保護(hù)控制措施相結(jié)合。

舊戲還會重演？

在2016年的重大數(shù)據(jù)泄露中，優(yōu)步前首席安全官Joe Sullivan因涉嫌企圖對事件進(jìn)行掩蓋，妨礙司法公正，于2020年8月被聯(lián)邦法院提起刑事訴訟，并在2021年底被附加三項電匯欺詐罪指控，指責(zé)其為了掩蓋事件策劃了向兩位黑客支付巨額“封口費”。

根據(jù)美國聯(lián)邦法院網(wǎng)站提供的詳情，Sullivan在事發(fā)后試圖利用漏洞賞金計劃向黑客支付報酬，該計劃通過第三方中介向所謂的“白帽”黑客付款，稱這些黑客在并未有泄露數(shù)據(jù)的情況下指出了安全問題。優(yōu)步最終在 2016 年 12 月向黑客支付了價值 10 萬美元比特幣。此外，Sullivan還試圖讓黑客簽署保密協(xié)議，其中包含黑客沒有獲取或存儲任何數(shù)據(jù)的虛假陳述。2017年11月，優(yōu)步的新管理層最終向美國聯(lián)邦貿(mào)易委員會(FTC)披露了事情真相。

巧合的是，在9月15日攻擊事件后的第二天，優(yōu)步首席執(zhí)行官Dara Khosrowshahi參加了美國檢方對于Sullivan相關(guān)指控的審判，可謂是一波未平一波又起。這一次，優(yōu)步是否會及時公開、透明地進(jìn)行處理目前還不得而知，這很大程度上取決于接下來的排查評估工作。但Acronis首席信息安全官 Kevin Reed說道："與2016年的事件相比，這次妥協(xié)的可能性更大，黑客很可能已經(jīng)獲得了數(shù)據(jù)，無論優(yōu)步對外宣稱數(shù)據(jù)是否安全?！?/p>