周四下午,网约车巨头Uber遭黑客攻击,内部系统被攻破,漏洞报告被盗。Uber已证实此次攻击,并在推特上发文称他们正在与执法部门联系。2016年,Uber也曾发生黑客攻击事件,导致 5700 万用户和司机的个人数据受到影响。今年7月,Uber和美国检方达成和解协议,宣布为这次事件承担责任,同时也避免了检方的刑事罪名指控。
通过社工入侵内部系统
据悉,在此次攻击事件中,黑客窃取了漏洞报告,并分享了Uber的内部系统、邮件仪表板和Slack服务器截图。根据黑客分享的截图显示,他完全可以进入Uber的许多关键IT系统,包括该公司的安全软件和Windows域。黑客还访问了Uber的AWS控制台、VMware ESXi虚拟机、Google Workspace邮件仪表板和Slack服务器。
《纽约时报》最早对这一事件进行了报道,并与攻击者进行了交谈。攻击者表示,他是通过对一名员工进行社工后窃取他们的密码,然后入侵了Uber。然后,威胁者利用窃取的凭证进入了公司的内部系统。
HackerOne漏洞报告失窃
在这次攻击中,攻击者有可能窃取了Uber的数据和源代码,同时也获得了可能是更有价值的资产——HackerOne漏洞赏金项目的所有漏洞报告。根据Yuga实验室安全工程师Sam Curry表示,攻击者访问了HackerOne漏洞赏金项目,并对所有漏洞赏金票据进行了评论。
黑客在HackerOne提交页面留下的评论
(来源:Sam Curry)
HackerOne是Uber运行一个漏洞赏金项目,可以让安全研究人员私下向Uber披露其系统和应用程序中的漏洞,以换取金钱上的漏洞赏金奖励。这些漏洞报告在发布修复方案前是保密的,以防止攻击者在攻击中利用这些漏洞。
还有消息称,黑客下载了Uber漏洞赏金项目的所有漏洞报告,包括尚未修复的漏洞报告,这给Uber带来了严重的安全风险。目前,HackerOne已经禁用了漏洞赏金项目,用户已无法访问所披露的漏洞。但如果黑客已经下载了这些漏洞报告,很可能将其出售给其他攻击者以快速实现攻击变现。
青藤建议:持续强化人员网络安全意识
人是安全防护体系中最薄弱的一环。网络安全攻防的较量归根结底是人的较量,所有的技术体系也都离不开人的使用。在最近针对知名公司的攻击中,包括Twitter、MailChimp、Robinhood和Okta,社工已经成为一种非常流行的战术。为此,务必要加强安全意识宣导,持续强化人员网络安全意识,让人成为网络安全纵深防御体系中很重要的一道防线。
参考资料:
1.https://www.bleepingcomputer.com/news/security/uber-hacked-internal-systems-breached-and-vulnerability-reports-stolen/
2.https://view.inews.qq.com/a/20220725A02SHB00
-完-
原文始发于微信公众号(青藤云安全):继5700万条数据泄露后,网约车巨头Uber承认再遭黑客攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论