上周叫车平台大厂Uber遭黑,经过周末的调查,Uber周一举称是曾经嚣张宣扬黑入过微软及三星的Lapsus$重出江湖所为,借由取得约聘员工帐密而得逞。虽然部分系统被黑客访问,但Uber称客户信用卡资料、运营系统、或公司程序代码都没被影响到。
上周一名黑客利用Uber员工的漏洞通报平台HackerOne账号公告,他经由取得Uber员工账号取得该公司域名管理员、AWS、G Suite管理员、vSphere/ESXi管理员及HackerOne账号,他还贴出Uber AWS及Google Cloud Platform内部系统截图,并且曾登录Uber Slack平台,并和员工互动。黑客似乎也访问了HackerOne平台上的Uber所有漏洞报告。
Uber周一说明,整起事件是一名Uber EXT约聘人员账号被黑而起。根据Uber说明,可能是该约聘员工个人设倍感染恶意程序,致其帐密外流,而后被黑客自地下网站购得。攻击者之后以其帐密登录该名员工Uber账号。大多数情况下,由于公司有双重验证,该员工起初都拒绝登录请求,但最后不知为何同意,而使攻击者成功登录Uber公司网络。
而后黑客由此访问了多名其他员工账号,进而取得G-Suite及Slack等管理员权限,并在全公司Slack频道上发布消息,同时重新设置Uber OpenDNS,使员工连上内部网站也都被导向色情图片。
Uber称,此事是由今年3月黑入微软、思科、Nvidia、三星及Okta等知名企业的Lapsus$所为。上周,Lapsus$似乎也黑入知名线上游戏商Rockstar Games网站,并在网络上公布知名游戏《侠盗猎车手Grand Theft Auto 6》的视频片段,还扬言公布GTA 5、6的程序代码及资产。
至于Uber自身的损失,该公司强调黑客并未访问对外运营系统或用户账号,也未访问该公司存储的用户个人信息,包括信用卡号码、银行账户及乘坐历史记录,存在AWS S3等云计算上的用户资料也没被动到。此外,Uber也说公司程序代码未遭黑客变更。
不过Uber坦承攻击者从内部Slack频道上下载了一些消息,也从内部发票管理系统上访问了一些资讯,至于哪些资料被下载,Uber则正在分析。此外,一如报道指出,黑客的确从HackerOne下载了Uber漏洞报告,但Uber说这些漏洞皆已经修补。
Uber表示,在发生事件后,公司做了多项肃清措施,包括识别出账号被黑的员工后,即暂时冻结系统权限并要求重设密码、关闭受影响的内部工具、轮调了多项内部服务的密钥,之后要求所有员工重新验证。Uber也封锁程序代码库,以防程序代码被篡改,并且在内部环境增加监控机制,以侦测可疑活动。
最后,该公司说旗下服务Uber、美食外送Uber Eats、物流服务Uber Freight皆正常运营。