从 Uber 数据泄露事件我们可以学到什么？

时间：2022-11-25 12:09:43 来源：CSDN 作者：SEAL安全

Uber 数据泄露始于一名黑客从暗网市场购买属于一名 Uber 员工的被盗凭证。最初尝试使用这些凭据连接到 Uber 的网络失败，因为该帐户受 MFA 保护。为了克服这一安全障碍，黑客通过 What’s App 联系了 Uber 员工，并假装是 Uber 的安全人员，要求该员工批准将 MFA 通知发送到他们的手机。然后，黑客向该员工的手机发送了大量 MFA 通知，为了免除骚扰，该 Uber 员工批准了 MFA 请求授予黑客网络访问权限，最终导致了数据泄露。据悉这已经不是Uber第一次被黑客攻击。早在2016年，两名黑客入侵了 Uber 的系统，获取了 5700 万 Uber 应用用户的姓名、电子邮件地址和电话号码。

黑客访问了哪些数据？

在成功连接到 Uber 的内部网后，黑客获得了对该公司 VPN 的访问权限。授予攻击者如此高级别访问权限的关键漏洞是 PowerShell 脚本中的硬编码凭据。这些凭据使管理员可以访问特权访问管理 (PAM) 系统：Thycotic。该工具拥有大量特权，它存储用于员工访问内部服务和第三方应用程序的最终用户凭据，以及在软件开发环境中使用的 DevOps 机密信息。PAM 系统控制对多个系统的访问，拥有管理员访问权限意味着可以给自己或提取所有连接系统的秘密。这让攻击者可以完全访问 Uber 的所有内部系统。

也就是说攻击者拥有了对 Uber 所有敏感服务（包括 DA、DUO、Onelogin、Amazon Web Services (AWS) 和 GSuite）的完全管理员访问，这也显着增加了数据泄露的严重性。据称，黑客还访问了 Uber 的漏洞赏金报告，这些报告通常包含尚未修复的安全漏洞的详细信息。这名黑客被认为与网络犯罪组织 Lapsus$ 有关联，他在与 Uber 网络安全研究员的谈话中透露了这次攻击的细节（见下图）。

图片来源：Twitter

数据泄露的严重后果

如果黑客是出于经济利益的动机，他很可能会在暗网市场上出售 Uber 的漏洞赏金报告。鉴于漏洞赏金计划的发现可能造成毁灭性的数据泄露影响，它会以非常高的价格出售。幸运的是这名黑客并无意造成企业巨大损失和影响，而是在享受成功的网络攻击带来的成就感和随之而来的黑客社区的尊重。要知道当 Uber 在 2016 年遭到黑客入侵时，向网络犯罪分子支付了 100,000 美元的赎金，以换取删除他们被盗数据的副本。

此次数据泄露事件的关键是 Uber 的特权访问管理（PAM）平台因管理员凭据暴露而受到损害。特权访问管理（PAM）是用于保护、控制和监视员工对组织的关键信息和资源的访问的工具和技术的组合。而黑客攻击者极有可能已经获得了对 Uber 几乎所有内部系统的访问权限。尽管黑客没有展开进一步攻击，我们仍有必要去了解这件事情的严重性。

Thycotic

Thycotic PAM 系统拥有大量特权，它存储用于员工访问内部服务和第三方应用程序的最终用户凭据，以及在软件开发环境中使用的 DevOps 机密信息。它可以控制对不同服务的访问，还有一个存储凭据和密码的机密管理器。在此次数据泄露事件中，这是 Uber 需要面临的最可怕的情况。

AWS

AWS 实例控制着 Uber 应用程序的云基础设施。根据配置、权限和体系结构，攻击者可能会关闭服务、滥用计算资源、访问敏感用户数据、删除或勒索数据、更改用户访问权限等等。

VMWare vSphere

VMware vSphere 是一个云计算虚拟化平台。这是一个非常关键且重要的平台，因为它与云计算和本地服务器接口，可以让攻击访问受控的本地服务器以及许多帮助攻击者深入系统的管理功能。

SentinelOne

SentinelOne 是一个 XDR（扩展检测和响应）平台。简而言之，这个平台连接到企业的关键任务系统，让企业知道是否存在安全问题。任何可以获得该系统特权访问权限的攻击者都可以混淆他们的活动并延长他们的攻击时间。XDR 可以为事件响应 (IR) 团队植入“后门”，例如允许 IR 团队“进入”员工机器并可能扩大攻击者的访问范围。

Uber 数据泄露的4个经验教训

我们可以从 Uber 数据泄露事件中可以吸取一些重要的网络安全教训，通过将这些经验应用到网络安全工作中，可以帮助企业避免遭遇类似问题。

1. 加强网络安全意识培训

Uber 员工在攻击的初始阶段为了摆脱大量 MFA 请求而批准，这一事实证明了企业人员对一种称为“MFA 疲劳”的很常见的 MFA 利用策略认识不足。如果 Uber 员工意识到这种策略的严重性，他们将会及时报告威胁，从而避免数据泄露事件发生。黑客还利用社交工程（Social Engineer）技术糊弄 Uber 员工，让他们以为自己是Uber安全团队的成员，这是另一种常见且需要高度警惕的网络攻击策略。实施网络意识培训，让员工深刻认识到 MFA 疲劳和社交工程诈骗这两种常见网络攻击方法很关键。

2. 了解常见的 MFA 利用方法

并非所有的多重身份验证协议都需要设置为一致的。企业的网络安全团队应该将当前的 MFA 流程与常见的利用策略进行比较，并在需要时升级身份验证协议的复杂性以减轻利用风险。

3. 避免硬编码管理员登陆凭证

在此次事件中最重大的安全问题可能是在 Powershell 脚本中硬编码管理员凭据。阅读 Powershell 脚本并发现其中包含的管理员凭据，未经授权的用户便可以访问Uber 敏感系统。如果遵循安全编码实践，就可以避免此安全漏洞。请确保管理员凭据始终安全地存储在密码库中，并且永远不要在任何地方进行硬编码。

4. 使用数据泄露检测服务

如果 Uber 黑客出于利益目的，客户数据就会被窃取并且在暗网上进行兜售。对于企业而言，需要有一个安全网来检测未检测到的数据泄露导致的暗网数据泄漏。当在暗网上检测到敏感数据泄漏时，数据泄漏检测服务会通知受影响的企业，这样网络安全团队可以尽早保护受损帐户。

Tags：数据泄露点击:() 评论:()

声明：本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作，风险自担。如有任何标注错误或版权侵犯请与我们联系，我们将及时更正、删除。

▌相关推荐

永久删除微信聊天记录的终极攻略：再也不怕数据泄露！

微信保存了我们大量的聊天记录，如果微信聊天记录过多，可能会导致手机运行缓慢或出现其他问题。这时候，删除一些不必要的聊天记录可以提高手机性能，释放存储空间。怎么永久性删除...【详细内容】

2024-01-22　　Search: 数据泄露点击:(83)　　评论:(0)　　加入收藏

大语言模型数据泄露堪忧，超自动化Agent成解决之道

文/王吉伟阻碍广大企业应用大语言模型（LLM，Large Langeuage Models）的诸多因素中，无疑数据安全是最重要的。3月份ChatGPT发生了用户隐私数据泄露事件，OpenAI声明由于开源代码库中...【详细内容】

2023-11-15　　Search: 数据泄露点击:(188)　　评论:(0)　　加入收藏

微软配置错误致38TB内部数据泄露！

多达 38TB 的微软内部数据遭泄露，起因竟只是一个小小的配置错误？——确实如此，你没看错。近日，云安全初创公司 Wiz Research 发布了一则公告：微软 AI 研究团队在 GitHu...【详细内容】

2023-10-15　　Search: 数据泄露点击:(168)　　评论:(0)　　加入收藏

导致数据泄露的常见云配置错误

作者 | Raj Rajamani策划 | 言征云已成为攻击者活动的新战场：CrowdStrike 观察到，从 2021 年到 2022 年，云利用增加了 95%，涉及直接针对云的威胁行为者的案件增加了 288%。保护...【详细内容】

2023-09-06　　Search: 数据泄露点击:(276)　　评论:(0)　　加入收藏

黑客软件 LetMeSpy 遭黑客入侵“黑吃黑”，大量黑客信息数据泄露

IT之家 6 月 30 日消息，LetMeSpy 是一个安卓平台的黑客软件，强调“隐蔽”、“难以察觉”，一旦该软件部署在手机上，他人即可追踪该手机上的一切通话记录、短信内容与 GPS 位置等...【详细内容】

2023-06-30　　Search: 数据泄露点击:(221)　　评论:(0)　　加入收藏

OpenAI：ChatGPT支付数据泄露系开源库漏洞

Redis开源库漏洞引发ChatGPT支付数据泄露。事件回顾3月20日，多名ChatGPT订阅用户称在其订阅页面看到了其他用户的邮箱地址。图推特原文随后，OpenAI将ChatGPT下线并调查了这一...【详细内容】

2023-03-28　　Search: 数据泄露点击:(195)　　评论:(0)　　加入收藏

和8月事件存在关联，密码管理工具LastPass再次出现数据泄露

IT之家12月1日消息，援引国外科技媒体 The Verge 报道，密码管理工具LastPass再次出现数据泄露事件。该公司首席执行官卡里姆・图巴（KarimToubba）在今天发布的博文中表示，黑客访问...【详细内容】