深陷安全事件泥潭，优步数据泄露何时休？

“我宣布我是一名黑客，Uber 已经遭遇数据泄露。”

9月15日，一名黑客侵入了一名优步员工的办公通讯应用 Slack，发布了如上信息。次日，根据多家外国媒体报道，这家国际网约车巨头证实其系统遭到了黑客攻击，但尚不清楚黑客访问了哪些内部数据。

因为此次攻击，优步下线了部分系统功能，给业务带来一定影响。据《华盛顿邮报》当日看到的一份内部故障报告称，部分地区从优步客户一度无法打车或下单外卖，受影响地区包括美国乔治亚州的亚特兰大以及澳大利亚的布里斯班。

在发布的信息中，这名黑客还列举了几个已经泄露的内部数据库信息，并在随后访问了其他内部系统，当员工在Slack上访问其他内部信息时，会被跳转至一张色情图片。

优步随后紧急关闭了 Slack及部分工程系统，但在9月16日的调查进展中表示，公司所有服务已正常运行，此次攻击也没有证据表明涉及到用户的出行记录等敏感信息。优步已在事发后第一时间报警。

但有分析表明，实际情况可能并非如此。独立安全研究员Bill Demirkapi认为，“没有证据”可能意味着黑客确实拥有访问权限，优步只是没有找到证据进行核实。

攻击细节

据悉，包括《纽约时报》、《华盛顿邮报》、Bleeping Computer在内的媒体均与声称为此事负责的黑客取得了联系。《纽约时报》表示，黑客对一名优步员工进行社会工程攻击并窃取了其账户密码后实施了入侵。根据黑客分享给Bleeping Computer的截图显示，黑客似乎访问了优步多项关键的IT系统，包括安全软件和 Windows 域，以及 Amazon Web Services 控制台、VMware vSphere/ESXi 虚拟机、用于管理 Uber 电子邮件帐户的 Google Workspace 管理后台。

优步攻击事件路径图

此外，黑客还一并侵入了优步用于悬赏安全漏洞的HackerOne账户，并在HackerOne封禁该账户前下载了所有漏洞报告，这其中可能包括一些尚未修复的漏洞，如果这些漏洞被恶意利用，将会给优步带来巨大的安全威胁。

虽然目前尚不清楚黑客的具体动机，但据悉，这名黑客是一名年仅18岁的少年，利用社会工程学及MFA疲劳攻击成功打破了这家巨头的安全防线。

黑客声称使用了MFA疲劳攻击

根据安全研究员与这名少年的交谈中得知，他试图以优步员工的身份登录，但由于优步帐户受到多因素身份验证的保护，因此使用了 MFA 疲劳攻击并伪装成优步 IT 支持人员来说服员工接受 MFA 请求。MFA 疲劳攻击是指向目标发出重复的验证请求，直到受害者厌倦并接受。随后，他继续通过公司 科学 登录到内部网络，并开始扫描公司的内部网以获取敏感信息。期间，他发现了一个 PowerShell 脚本，其中包含公司 Thycotic 特权访问管理 (PAM) 平台的管理员凭证，该平台用于访问公司其他内部服务的登录密码。

这起攻击事件很容易让人联想起这家巨头企业在2016年发生的另一起大规模数据泄露事件，涉及约5700万名乘客和司机的姓名、电话号码及电子邮件地址以及约 60 万名美国司机的驾照信息。事发后，公司向黑客支付了价值10万美元比特币，使得该事件在随后一年内并未被曝光。

安全管理疏忽让社工趁虚而入

在此次针对优步的攻击事件中，我们再次领略到了社会工程学的长久不衰、无孔不入，近年来，包括Twitter、Cloudflare、LastPass等巨头企业都深受其害。在2020年7月发生的堪称Twitter史上最大规模安全事件中，黑客买通至少一位内部员工，获得了大量大V账号权限，导致包括多位政要、知名公司及个人账号被黑。

由于社会工程学门槛较低，易于掌握，以至于这位18岁的少年黑客也能熟练运用，他在与《纽约时报》的交流中表示，自己学习网络安全技能已经好几年，之所以入侵优步的系统，是因为该公司的安全措施薄弱，这也从侧面反映了企业在网络安全管理上存在巨大疏漏。

BlackBerry 威胁研究和情报副总裁 Ismael Valenzuela Espejo 表示，目前人们在防范APT攻击上投入了大量精力，从而忽视了其他威胁因素，比如内部人员。企业在建立威胁模型时，应该评估当这些内部人员有意或无意参与到对企业的攻击行为中时，其自身能力和技能水平会对企业产生多大的危害。

这也同时表明，基于密码的身份验证是账户安全中的一块薄弱环节，有验证时效的一次性验证码 (TOTP) 已不足以维持2FA的安全性。目前的一种解决方法是使用符合FIDO2标准的防钓鱼物理安全密钥，它不再使用密码，而由一个外部硬件设备来处理验证信息。此外，专家也建议MFA服务商出台一种机制，当短时间内收到大量验证请求时能够默认自动暂时锁定账户，以此来限制非法登录。

Elevate Security 的联合创始人兼总裁 Masha Sedova 在一份声明中也表示，一家公司的安全水平与取决于其中安全意识最差的员工，认为安全培训需要让安全风险最高的员工与更具体的保护控制措施相结合。

旧戏还会重演？

在2016年的重大数据泄露中，优步前首席安全官Joe Sullivan因涉嫌企图对事件进行掩盖，妨碍司法公正，于2020年8月被联邦法院提起刑事诉讼，并在2021年底被附加三项电汇欺诈罪指控，指责其为了掩盖事件策划了向两位黑客支付巨额“封口费”。

根据美国联邦法院网站提供的详情，Sullivan在事发后试图利用漏洞赏金计划向黑客支付报酬，该计划通过第三方中介向所谓的“白帽”黑客付款，称这些黑客在并未有泄露数据的情况下指出了安全问题。优步最终在 2016 年 12 月向黑客支付了价值 10 万美元比特币。此外，Sullivan还试图让黑客签署保密协议，其中包含黑客没有获取或存储任何数据的虚假陈述。2017年11月，优步的新管理层最终向美国联邦贸易委员会(FTC)披露了事情真相。

巧合的是，在9月15日攻击事件后的第二天，优步首席执行官Dara Khosrowshahi参加了美国检方对于Sullivan相关指控的审判，可谓是一波未平一波又起。这一次，优步是否会及时公开、透明地进行处理目前还不得而知，这很大程度上取决于接下来的排查评估工作。但Acronis首席信息安全官 Kevin Reed说道：”与2016年的事件相比，这次妥协的可能性更大，黑客很可能已经获得了数据，无论优步对外宣称数据是否安全。“