优步对重大数据泄露报告后的“网络安全事件”做出回应

网约车巨头优步证实，它正在对一起网络安全事件做出回应，因为有报道称该公司遭受了严重的网络数据泄露，迫使其关闭了多个内部通信和工程系统。

攻击者通过入侵的 Slack 帐户宣布 Uber 违规

优步在 Twitter 上的一份声明中写道：“我们目前正在应对网络安全事件。我们正在与执法部门保持联系，并会在可用时在此处发布更多更新。” 

虽然在撰写本文时该公司的详细信息很少，但《纽约时报》周四的一篇报道称，一名黑客能够入侵一名员工的 Slack 账户，并利用该账户向 Uber 员工发送消息，宣布该公司遭受了数据泄露。

优步调查其计算机系统被入侵事件 

该公司周四表示，正在调查这起明显黑客攻击的范围。

优步周四发现其计算机网络遭到入侵，导致该公司在调查黑客攻击的程度时，关闭了几个内部通信和工程系统。 

这次入侵似乎已经损害了优步的许多内部系统，一名声称对此次黑客攻击负责的人向网络安全研究人员和《纽约时报》发送了电子邮件、云存储和代码库的图像。

“他们几乎可以完全进入优步，”宇迦实验室的安全工程师萨姆·库里说，他曾与声称对此次入侵负责的人通信。“从表面上看，这是一个完全的妥协。” 

优步的一位发言人表示，该公司正在调查违规行为，并联系执法官员。 

两名未被授权公开发言的员工表示，优步员工被告知不要使用公司的内部消息服务Slack，他们发现其他内部系统无法访问。 

周四下午，在Slack系统离线前不久，优步的员工收到了一条消息，内容是，“我宣布我是一名黑客，优步遭遇了数据泄露。”该消息接着列出了黑客声称已经遭到破坏的几个内部数据库。 

优步发言人说，黑客侵入了一名员工的备用账户，并用它来发送信息。黑客后来似乎能够进入其他内部系统，在内部信息页面上为员工张贴了一张清晰的照片。 

声称对此次黑客攻击负责的人告诉《纽约时报》,他给一名自称是公司信息技术人员的优步工人发了一条短信。这名工人被说服交出一个密码，让黑客得以进入优步的系统，这种技术被称为社会工程。

为了在科技公司内部获得立足点，这类社交工程攻击一直在增加，例如2020年对Twitter的黑客攻击，在那次攻击中，青少年利用社交工程侵入了公司。类似的社会工程技术也被用于微软和俄克拉荷马州最近的黑客入侵中。 

我们看到攻击者变得越来越聪明，还记录了什么在起作用。他们现在有一些工具包，可以更容易地部署和使用这些社会工程方法。它几乎已经商品化了。

这名黑客提供了优步内部系统的截图，以展示他的访问权限，他说自己今年18岁，几年来一直在提高自己的网络安全技能。

他说他之所以侵入优步的系统，是因为该公司的安全措施薄弱。在宣布违规的Slack消息中，该人士还表示，优步司机应该获得更高的薪酬。 

这个人似乎可以访问优步的源代码、电子邮件和其他内部系统。看起来他们可能是这个进入优步的孩子，不知道该怎么做，正在享受人生。

在《纽约时报》看到的一封内部电子邮件中，一名优步高管告诉员工，黑客攻击正在调查中。优步首席信息安全官写道:“我们现在还不知道何时可以恢复对工具的完全访问，所以感谢您的耐心等待。”。 

这不是黑客第一次从优步窃取数据。2016年，黑客窃取了5700万司机和骑手账户的信息，然后找到优步，要求10万美元来删除他们的数据副本。优步安排了付款，但对违约保密了一年多。 

乔·沙利文当时是优步的最高安全主管，因其在公司应对黑客攻击中的作用而被解雇。沙利文因未能向监管机构披露违规行为而被指控妨碍司法公正，目前正在接受审判。沙利文的律师辩称，其他员工对监管披露负有责任，并说公司把沙利文当成了替罪羊。

该报告援引优步发言人的话说，黑客在列出几个明显受到攻击的内部数据库之前发布了“我宣布我是一名黑客，优步遭受了数据泄露”。声称对这次黑客攻击负责的人告诉《纽约时报》，他们已经向一名自称是公司 IT 人员的 Uber 员工发送了一条短信，说服他们交出一个密码，该密码允许该行为者访问 Uber 的系统。

根据安全研究员兼漏洞猎手的推文，一位匿名的 Uber 员工表示：“在 Uber，我们收到了一封来自 IT 安全部门的‘紧急’电子邮件，要求停止使用 Slack。现在，每当我请求一个网站时，我都会被带到一个带有色情图片和信息“F *** you wankers”的已编辑页面。

通过 SMS 使用简单的社会工程黑客来入侵他们的系统，这让 Uber 不仅感到尴尬，而且还质疑有多少数据可以如此轻松地访问一个系统。

绝不应低估攻击者，目标对象必须对此类攻击保持警惕。因此，个人数据需要更加严格的安全措施，并且必须得到最好的保护，不仅可以免受内部威胁，还可以防止无情的攻击者寻找易受攻击的员工。

内部系统是组织的软肋，而 Uber 事件恰恰表明，即使是最简单的技术，如果做得正确，也可以用相对的方式解开整个基础设施。

这就是为什么像最小特权的概念和专注于维护和减少具有整体观点的内部攻击面这样的事情非常重要，并且现在得到了很大的关注。

试图让公司减少对单个系统的安全性的考虑，并通过使用红色/紫色团队参与将更全面的观点嵌入到他们的安全测试计划中，这确实有助于查明针对整个组织的薄弱环节。正如我们在这里看到的。

原文始发于微信公众号（网络研究院）：优步对重大数据泄露报告后的“网络安全事件”做出回应