18岁黑客是如何入侵Uber公司的？

本文综合网上公开信息，回顾2022年9月优步公司（Uber）被黑客入侵事件，以达到吃瓜、警示及提升网络安全意识的目的。

01

美国时间 9月15日下午3点，优步（Uber）公司的某个工作群组里，一个员工账号突然发出一条奇怪的消息：

“我宣布，我是个黑客，优步公司的数据已经泄漏。协作工具Slack（数据）已经被偷，内网知识库Confluence……等等也被偷……”

同事们都乐了：这哥们是哪个部门的啊，这么逗？群里刷起各种表情包，气氛一片轻松愉快。

但是大家很快就意识到真的有黑客。因为人们发现，不管用Slack访问什么网站，都会跳到一个色情图页面，上面有一行字：F**k you wanker（这句就不翻译了，脏得很）

不久，员工们的手机陆续震动，弹出短信提醒，公司IT部门发的：

紧急通知：在收到后续通知以前，请所有优步员工停止使用Slack，我们正尝试解决一个问题并尽快发布更新。

这下可好了，许多员工本来没上Slack，看到短信赶紧打开Slack去群里凑热闹吃瓜。优步被黑的消息在社交媒体平台不胫而走。

当天晚上八点多，网络工程师山姆·库里（Sam Curry）在社交媒体上晒出几张截图，表示他刚刚发现：优步在HackerOne平台的官方账号也被黑了。

吃瓜网友们再次沸腾，因为HackerOne是一个安全漏洞悬赏平台，优步公司在HackerOne的账号被盗，意味着盗号者可以看到其他善意黑客们向平台提交的所有关于优步公司的安全漏洞的细节。

盗号黑客的作案动机让人疑惑。

如果只是为了求财，或者偷信息，完全可以悄悄地来，悄悄地走，现实恰恰相反，不仅黑客在群里大张旗鼓，还用盗来的HackerOne账号在优步公司的每一条漏洞悬赏的下方发了评论：

优步已经被黑（包括域管理员、AWS云计算平台管理员、虚拟机服务管理员、谷歌套件……）这个Hackerone账号也被黑了。

甚至还附了一个联系方式。

同时还附了一些屏幕截图，以证明自己没有吹牛。比如优步公司在亚马逊云平台（AWS）的账号登录界面：

吃瓜网友顺着黑客留下了的联系方式，跟黑客联络，黑客也回应了一些。

在一些对话中，黑客透露自己只有18岁，黑进Uber纯粹是为了好玩，优步的安全性很弱。

大家都看傻了——一个市值超过600亿美元的公司，被一个小孩，出于好玩就给扒掉了底裤，还连带嘲讽？

眼看着舆论酝酿起来，美国时间9月15日晚上九点半前后，优步的官方账号在社交媒体上发出一条消息：

我们目前正在应对一起网络安全事件，已联系执法部门，后续如有新进展会及时更新信息。

02

这个昵称叫“茶包”（Tea Pot）的黑客确实爽快，网友敢问，他就敢答。

网友：“你是怎么黑进来的？”

黑客：“通过一个员工泄漏的账号密码，进到Uber内网。”

网友：“不是有二次验证吗？你怎么绕过的？”

黑客：“我给这个员工不停地发送二次验证请求，连续轰炸一个多小时。再用聊天软件WhatsApp联系他，我就说我是优步公司的IT管理员，他必须点击'接受'请求才能停。他按照我说的点了接受，我就登进去了。”

网友：“进入内网之后，你怎么拿到那么多账号权限的呢？”

黑客：“简单来说，进到内网之后就开个扫描器，优步公司内网有一些网络共享文件，我在里头找到一些命令行脚本文件（PowerShell Scripts），其中一个脚本文件里，有一个特权账号管理平台Thycotic（PAM）的管理员账号密码。”

特权账号管理平台（PAM）可以理解为一家公司的钥匙库。

黑客：“进去PAM平台，我就拿到所有服务的访问权限，比如DA、DUO、XXX、XXX……”

也不知道优步公司的信息安全负责人，最后知道真相之后眼泪是不是得掉下来。

整个经过让我想起《西游记后传》里孙悟空的口头禅：“我还没出力，你就倒下了。”

03

还有一个小问题没弄明白：黑客从哪里搞到的Uber员工泄漏的账号？

网络安全公司Group-IB在黑客提供的一张屏幕截图里发现了端倪。

屏幕截图暴露了两个文件名，顺着文件名编号，安全研究人员找到了一份9月12日至9月14日在网络黑市出售的日志数据，对比吻和。

根据日志进一步判断，至少有2名优步相关员工（分别来自印度尼西亚和巴西）感染了Racoon和Vidar窃密程序。

至此，黑客的整个攻击流程已经呈现在我们面前：

• 优步相关员工感染恶意软件，泄漏信息到黑市。
  

• 黑客从网络黑市购买这份日志，挑出对他们有用的信息，以及合适下手的人。

• 黑客利用社会工程学攻击（一通忽悠），绕过二次验证，拿到内网访问权限。

• 黑客进入内网，到处“溜达”寻找更多有用信息（账号密码）

• 发现进入PAM的账号，进去拿到更多账号密码

网上也有很多网友根据公开信息整理出的“流程”。

04

美国时间9月19日上午10点，优步公司发布“安全更新”公告，表示事件还在继续调查。

根据“公告”的说法，最初是因为一个外部承包商（EXT contractor）的个人设备感染了恶意软件，泄漏了自己的优步账号密码到暗网，恰好被攻击者买到。言外之意，不是我的正式员工出的问题哦。

事件发生后，优步采取了一系列“关键行动”，比如确认了所有员工账户的安全隐患、禁用了很多受影响的工具、锁定了代码库、密切关注进一步可疑行动等等。言外之意，我努力做了很多事情来亡羊补牢哦。

优步公司判断，这次的攻击者跟一个名叫Lapsus$的黑客组织有密切关联，该组织最近一年非常活跃，仅在2022年就攻破了微软、思科、三星、英伟达和Okta等公司。

上周还攻破了游戏制造商Rockstar Games，也就是做《侠盗飞车》那家公司，把最新的《侠盗飞车6》给泄漏了出来。

言外之意，不是我菜，是黑客太厉害，你看还有很多大公司也中招了吧。

“没有证据表明用户数据被泄漏，服务运营正常，内部软件工具也已经重新上线。”

但我觉得不管优步官方怎么解释，都掩盖不了他们被一个18岁的黑客，出于好玩，用简单手段扒掉底裤的事实。

2016年，优步公司为了遮丑，向黑客支付10万美元封口费，时隔6年，这家公司又一次把自己钉在网络安全的耻辱柱上。

05

美国时间9月20日，有新闻报道称，涉嫌泄漏《侠盗飞车6》资料的黑客正在接受美国联邦调查局（FBI）的调查。

如果背后黑客的确是同一伙人，那么优步黑客事件很快也会水落石出。

报道里说，今年三月英国广播公司（BBC）曾报道过一个来自牛津的16岁少年，这个少年被指控是黑客组织Lapsus$的领导者之一。

面对记者，孩子的父亲说：“我最近才知道这事儿，我知道他花了很多时间在电脑上，但我一直以为他在打游戏。”

06

一千个读者眼中有一千个哈姆雷特，一千个安全从业者看Uber事件，可能有一千种启示。

比如：

人是最大的漏洞。

公司体量很大，不代表网络安全水平就很好，但分支机构很多，网络安全的难度一定不小。

攻防不对等。

千里之堤，溃于蚁穴。

要永远对网络安全保持敬畏。

网上还流传着很多表情包图片：一个员工的密码引发的血案……

---

你从优步的故事里，得到哪些启示？欢迎留言。

· END ·

点击下方名片，关注我们

觉得内容不错，就点下“赞”和“在看”

如果不想错过新的内容推送，可以设为星标哦

原文始发于微信公众号（微步在线）：18岁黑客是如何入侵Uber公司的？