信息來(lái)源:51CTO
9月15日,一名18歲的黑客稱成功入侵Uber系統(tǒng),下載了HackerOne的漏洞報(bào)告,并分享了Uber內(nèi)部系統(tǒng)、郵件、和slack服務(wù)器的截圖。
黑客分享的截圖表明,黑客成功訪問(wèn)了Uber的許多關(guān)鍵IT系統(tǒng),包括公司安全軟件和Windows域。黑客訪問(wèn)的其他系統(tǒng)包括Uber的亞馬遜web服務(wù)配置、VMware
vSphere/ESXi虛擬機(jī)、谷歌workspace管理Uber郵箱賬號(hào)的管理界面。
此外,攻擊者還成功入侵了Uber Slack服務(wù)器,并發(fā)布消息給Uber員工表明公司被黑。但從Uber的slack截圖來(lái)看,這些公告最初被認(rèn)為是玩笑,員工并未意識(shí)到發(fā)生了真實(shí)的網(wǎng)絡(luò)攻擊。
隨后,Uber確認(rèn)了這一網(wǎng)絡(luò)安全事件,發(fā)推稱已與執(zhí)法機(jī)構(gòu)接觸,之后會(huì)發(fā)布其他相關(guān)信息。
安全研究人員Corben Leo與黑客取得聯(lián)系,黑客稱通過(guò)對(duì)員工進(jìn)行社會(huì)工程攻擊成功竊取了其密碼。因?yàn)?span>Uber賬戶使用了多因子認(rèn)證保護(hù),黑客稱使用了MFA Fatigue攻擊,并偽裝成Uber IT支持人員來(lái)使該雇員接受MFA請(qǐng)求。MFA Fatigue攻擊是攻擊者登陸憑證時(shí)被多因子認(rèn)證攔截,然后重復(fù)發(fā)起MFA請(qǐng)求,直到受害者不想看到該通知,并接收該請(qǐng)求。
然后使用被竊的憑證信息訪問(wèn)了公司的內(nèi)部系統(tǒng)。黑客首先通過(guò)VPN登入Uber內(nèi)部網(wǎng)絡(luò),然后掃描公司內(nèi)網(wǎng)敏感信息。然后發(fā)現(xiàn)了一個(gè)含有公司Thycotic 特權(quán)訪問(wèn)管理平臺(tái)管理員憑證的powershell腳本,使用該憑證可以訪問(wèn)公司其他內(nèi)部服務(wù)的登錄密碼。
Yuga Labs安全研究人員稱黑客訪問(wèn)了Uber的HackerOne漏洞獎(jiǎng)勵(lì)項(xiàng)目,并對(duì)所有漏洞獎(jiǎng)勵(lì)ticket進(jìn)行了評(píng)論。
有研究人員稱黑客下載了Uber HackerOne漏洞獎(jiǎng)勵(lì)項(xiàng)目中的所有漏洞報(bào)告,其中還包括未修復(fù)的漏洞報(bào)告。隨后HackerOne禁用了Uber漏洞獎(jiǎng)勵(lì)計(jì)劃,使得其無(wú)法訪問(wèn)未公開(kāi)的漏洞信息。但是黑客已經(jīng)下載了所有的漏洞報(bào)告,有可能賣(mài)給其他攻擊者以實(shí)現(xiàn)快速獲利。
9月16日,Uber發(fā)布調(diào)查進(jìn)展,稱未發(fā)現(xiàn)黑客成功訪問(wèn)用戶敏感數(shù)據(jù),如行程信息。所有Uber服務(wù)仍在正常運(yùn)行。