9月15日周四早上,卢卡斯·鲁伊斯(Lucas Ruiz)醒来,做完了惯例的早间日程,然后就开始每天的通勤,前往优步公司的办公室,该公司位于哥斯达黎加北部埃雷迪亚省的圣多明各。他每天都会收到客户们发来的同样的问题和投诉。通常,他的一天会像往常一样就这么过去。但是卢卡斯准时上班时遇到了一个不同寻常的突发事件。这件事将会颠覆他的一天,甚至是整个优步公司的一天!

当时卢卡斯打开了公司员工用来交流的Slack应用程序,然后他发现他收到了一位匿名人士发来的一条消息。这条消息写着:“我是黑客,优步公司遭遇数据泄露事件”。该消息还提到了一些黑客声称可以访问的属于该公司的一些数据库和云服务。此外,此人还以“优步超低薪司机”(uber underpais drives)一词作为消息的结尾。这个词的意思优步公司支付给司机的薪资非常少。

针对优步的少年!

同一天晚上,也就是9月15日星期四晚,优步公司确认,其正在处理这一起“网络安全事件”,并且正在联系执法部门上报自己遭遇黑客攻击。《纽约时报》第一个报道了此事件。该报纸还指出,黑客在公司用于内部员工沟通的Slack应用程序上留下了一条消息,以此宣告自己。

为了应对这一事件,优步公司暂时关闭了对Slack以及其他一些内部服务软件的访问。然后在第二天进行更新后,才恢复了对Slack和内部服务软件的使用。在这一次更新中,该公司还表示,“并无证据表明,该漏洞涉及访问用户敏感数据,比如其飞行历史等”。但是,很快他们就发现问题要比优步公司所声称的更复杂。

在接下来的几个小时里,这名黑客在推特上向几位安全研究人员分享了一些截图。这些截图显示,优步公司的内部系统可能已经遭到了严重的破坏,甚至于可以随意访问该公司的内部财务数据。很明显,而黑客无法访问其他任何内容都很有可能是因为时间有限,而不是因为该公司的安全防御很强或其数据保护系统十分复杂。

黑客在一个公司漏洞众测平台HackerOne上发布了一些消息。优步公司自己和其他公司也都在使用该平台来处理漏洞报告,同时会奖励发现漏洞的研究人员。在接受《华盛顿邮报》采访时,这名黑客在Telegram消息应用程序上宣称,他是“为了好玩”才入侵了优步公司的系统,并且他可能会在几个月内透露该公司的源代码。同时他还表示优步公司的网络安全状况“非常糟糕”。经这位黑客证实,他是个人作案并且只有18岁。这名少年还以吹嘘的口吻解释了他是怎么进行黑客攻击的。并且他住在美国境外,所以他并不害怕当局。

这件事如何发生?

据黑客声称,他能够从其中一名员工切入,以此入侵优步公司的系统。他向该名员工发送了多个通知,然后通过多重身份验证(Multi-Factor Authentication)成功登录系统。一个多小时后,他假装自己在优步公司的IT部门工作,亲自在WhatsApp上联系了该员工。然后告诉他,他同意登录之后,这些通知就会立即停止发送。

上述的攻击方法以社会工程(Social engineering)概念为基础,用于识别在公司安全领域的工作人员。然后便于黑客使用网关进行攻击,也被称为“MFA疲劳”。其中要注意的是,帐户持有人必须同意通过发送到其设备的通知来进行登录,而不是使用其他可选择的方式来登录。比如生成带有随机数字的代码,用户输入这个代码然后就能够登录帐号。你可以在手机上的Gmail等应用程序中发现这些通知。即当你尝试从任何其他设备访问自己的帐号时,如果你启用这个功能,那么应用程序会向你发送通知让你选择同意登录。这样操作之后,你就可以在另一台设备上登录你的账号。

在黑客连续发送了几次通知后,受害者感到厌烦于是便选择同意登录。然后黑客就可以访问公司的VPN以及其他想要攻击的系统。最近这种类型的黑客攻击在黑客中变得非常流行。总之,黑客已经开发明了新的方法来规避双重身份验证功能,尤其是随着越来越多的各种公司和机构使用这一功能来进行登录。

巨大的黑客事件!

而一旦黑客获得了对公司内部系统的初始访问权限,那么他就能够访问一些非常特别且重要的资源,比如微软的自动化服务和管理程序PowerShell。这是一个类似于Windows中的“命令提示符”(Command Prompt)的窗口。当然这些程序窗口在功能上有所不同,包括用于系统内不同功能的130多个标准命令行。通常系统管理员将其用于操作系统以及他们稍后要控制的设备上,通过此执行各种任务。

在优步公司的黑客事件中,有一个PowerShell程序包含了Thicotic特权帐户管理系统的某一负责人账号的加密登录凭据。该系统用于保护公司敏感的登录数据。通过控制该帐号,黑客获得了对公司云服务加密的访问权限,包括亚马逊云计算服务(AWS)、谷歌G-suit服务以及OneLogin身份访问管理平台,以及其他一些如公司的内部财务数据等的敏感信息的控制面板。

在上述所有这些数据泄露以及大规模的违规行为之后,优步公司声称,并无证据表明可以访问用户的敏感数据。但是问题仍然还在这,即我们怎么能相信这样的说法?尤其是优步公司曾有过大量司机和客户敏感数据泄露的历史。

不是第一次!

现在的主要问题在于数据的泄露程度。该公司一开始并没有公开这件事情。这导致一些网络安全专家不得不指出,根据泄露的程度,黑客可以访问用户数据。实际上,一些有关数据泄露的屏幕截图已经显示出黑客对某些客户信息的访问仍然是受限的。但是,这本身并没有多大的意义。因为真正重要的是,黑客能够访问的数据量到底是多少。不幸的是,这个数量迄今为止仍然是未知的。

这一事件让人想起了2016年优步公司发生的大规模数据泄露事件。当时黑客设法从5700万客户和司机的账户中窃取了个人数据。然后要求该公司支付10万美元的赎金,以清除那些敏感数据的备份。最终,优步公司同意支付赎金。但是这次泄露事件完全被隐瞒下来了。最终在2017年,即事情发生一年多之后,优步公司罢免了其首席安全官的乔·沙利文(Joe Sullivan),理由是他涉嫌隐瞒优步公司的数据泄露事件。当时,该公司表示,泄露的数据包括全球5000万客户的姓名、电子邮件地址和电话号码,以及约700万司机的个人信息。该公司当时确认的是,这些信息不包括信用卡号码或信息、航班详细信息、位置或其他数据。

因此,客户数据泄露的问题真的可能会发生。但是如果黑客据他所说的那样是一个18岁的青少年,那么这些庞大的数据将成为他的绊脚石。至少每个人都希望如此!

重复的模式!

那么现在让我们来考虑以下这个事件整个过程。大型科技公司为何看起来那么容易受到黑客攻击?答案是,虽然这些科技公司以雇佣大多数领域最优秀、最聪明的技术人才而闻名,但是这些专家往往需要做的是创造新的产品,而不是从根本上去保护这些产品。

就在两天前,推特前安全主管佩特‧扎特科(Peiter Zatko)在美国参议院听证会上作证称,该公司在包括隐私和数字安全等在内的一系列领域存在严重的缺陷。并且CEO们相比于关心用户安全来说更专注于增加利润!

在推特于2020年7月遭受其历史上最严重的黑客攻击后,佩特‧扎特科开始进入推特公司工作。在这次的攻击中,一名来自佛罗里达州的17岁少年使用上述提到的社会工程策略说服了一名推特员工,他是他的同事。当时,他成功绕过了推特的安全系统,访问了美国前总统奥巴马、现任总统乔·拜登、美国亿万富翁埃隆·马斯克、歌手坎耶·韦斯特等一批知名人士的账号。

3月,数字身份验证服务平台Okta宣布,其公司遇到了安全漏洞,影响到了366名客户。该公司表示,被称为Lapsus$的黑客组织通过该公司一名工程师的笔记本电脑访问了公司数据。同一个月,微软也宣布,其公司遭到同一组织的黑客攻击。但该公司表示,黑客的访问权限有限,其中不包括任何客户数据。

在过去的一段时间里,大型科技公司遭受这种黑客攻击和数据泄露的事件变得愈发频繁。也许优步公司事件不会是最后一次。特别是那些以牺牲自己的安全系统为代价来实现最大化利润的公司。在这种情况下,他们的防御系统会非常脆弱,即使是面对一个愤怒的18岁少年也无济于事。

来源 : 半岛电视台