共计 2326 个字符,预计需要花费 6 分钟才能阅读完成。
Uber 数据泄露始于一名黑客从暗网市场购买属于一名 Uber 员工的被盗凭证。最后尝试应用这些凭据连贯到 Uber 的网络失败,因为该帐户受 MFA 爱护。为了克服这一平安阻碍,黑客通过 What’s App 分割了 Uber 员工,并伪装是 Uber 的平安人员,要求该员工批准将 MFA 告诉发送到他们的手机。而后,黑客向该员工的手机发送了大量 MFA 告诉,为了罢黜骚扰,该 Uber 员工批准了 MFA 申请授予黑客网络拜访权限,最终导致了数据泄露。据悉这曾经不是 Uber 第一次被黑客攻击。
早在 2016 年,两名黑客入侵了 Uber 的零碎,获取了 5700 万 Uber 利用用户的姓名、电子邮件地址和电话号码。
黑客拜访了哪些数据?
在胜利连贯到 Uber 的内部网后,黑客取得了对该公司 VPN 的拜访权限。授予攻击者如此高级别拜访权限的要害破绽是 PowerShell 脚本中的硬编码凭据。这些凭据使管理员能够拜访特权拜访治理 (PAM) 零碎:Thycotic。该工具领有大量特权,它存储用于员工拜访外部服务和第三方应用程序的最终用户凭据,以及在软件开发环境中应用的 DevOps 机密信息。PAM 系统控制对多个零碎的拜访,领有管理员拜访权限意味着能够给本人或提取所有连贯零碎的机密。这让攻击者能够齐全拜访 Uber 的所有外部零碎。
也就是说攻击者领有了对 Uber 所有敏感服务(包含 DA、DUO、Onelogin、Amazon Web Services (AWS) 和 GSuite)的齐全管理员拜访,这也显着减少了数据泄露的严重性。据称,黑客还拜访了 Uber 的破绽赏金报告,这些报告通常蕴含尚未修复的安全漏洞的详细信息。这名黑客被认为与网络立功组织 Lapsus$ 有关联,他在与 Uber 网络安全研究员的谈话中走漏了这次攻打的细节(见下图)。
数据泄露的严重后果
如果黑客是出于经济利益的动机,他很可能会在暗网市场上发售 Uber 的破绽赏金报告。鉴于破绽赏金打算的发现可能造成毁灭性的数据泄露影响,它会以十分高的价格发售。侥幸的是这名黑客并无心造成企业巨大损失和影响,而是在享受胜利的网络攻击带来的成就感和随之而来的黑客社区的尊重。要晓得当 Uber 在 2016 年受到黑客入侵时,向网络犯罪分子领取了 100,000 美元的赎金,以换取删除他们被盗数据的正本。
此次数据泄露事件的要害是 Uber 的特权拜访治理(PAM)平台因管理员凭据裸露而受到侵害。特权拜访治理(PAM)是用于爱护、管制和监督员工对组织的要害信息和资源的拜访的工具和技术的组合。而黑客攻击者极有可能曾经取得了对 Uber 简直所有外部零碎的拜访权限。只管黑客没有开展进一步攻打,咱们仍有必要去理解这件事件的严重性。
Thycotic
Thycotic PAM 零碎领有大量特权,它存储用于员工拜访外部服务和第三方应用程序的最终用户凭据,以及在软件开发环境中应用的 DevOps 机密信息。它能够管制对不同服务的拜访,还有一个存储凭据和明码的秘密管理器。在此次数据泄露事件中,这是 Uber 须要面临的最可怕的状况。
AWS
AWS 实例管制着 Uber 应用程序的云基础设施。依据配置、权限和体系结构,攻击者可能会敞开服务、滥用计算资源、拜访敏感用户数据、删除或勒索数据、更改用户拜访权限等等。
VMWare vSphere
VMware vSphere 是一个云计算虚拟化平台。这是一个十分要害且重要的平台,因为它与云计算和本地服务器接口,能够让攻打拜访受控的本地服务器以及许多帮忙攻击者深刻零碎的治理性能。
SentinelOne
SentinelOne 是一个 XDR(扩大检测和响应)平台。简而言之,这个平台连贯到企业的要害工作零碎,让企业晓得是否存在平安问题。任何能够取得该零碎特权拜访权限的攻击者都能够混同他们的流动并缩短他们的攻打工夫。XDR 能够为事件响应 (IR) 团队植入“后门”,例如容许 IR 团队“进入”员工机器并可能扩充攻击者的拜访范畴。
Uber 数据泄露的 4 个经验教训
咱们能够从 Uber 数据泄露事件中能够汲取一些重要的网络安全教训,通过将这些教训利用到网络安全工作中,能够帮忙企业防止遭逢相似问题。
1. 增强网络安全意识培训
Uber 员工在攻打的初始阶段为了解脱大量 MFA 申请而批准,这一事实证明了企业人员对一种称为“MFA 疲劳”的很常见的 MFA 利用策略意识有余。如果 Uber 员工意识到这种策略的严重性,他们将会及时报告威逼,从而防止数据泄露事件产生。黑客还利用社交工程(Social Engineer)技术糊弄 Uber 员工,让他们认为本人是 Uber 平安团队的成员,这是另一种常见且须要高度警觉的网络攻击策略。施行网络意识培训,让员工粗浅意识到 MFA 疲劳和社交工程欺骗这两种常见网络攻击办法很要害。
2. 理解常见的 MFA 利用办法
并非所有的多重身份验证协定都须要设置为统一的。企业的网络安全团队应该将以后的 MFA 流程与常见的利用策略进行比拟,并在须要时降级身份验证协定的复杂性以加重利用危险。
3. 防止硬编码管理员登陆凭证
在此次事件中最重大的平安问题可能是在 Powershell 脚本中硬编码管理员凭据。浏览 Powershell 脚本并发现其中蕴含的管理员凭据,未经受权的用户便能够拜访 Uber 敏感零碎。如果遵循平安编码实际,就能够防止此安全漏洞。请确保管理员凭据始终平安地存储在明码库中,并且永远不要在任何中央进行硬编码。
4. 应用数据泄露检测服务
如果 Uber 黑客出于利益目标,客户数据就会被窃取并且在暗网上进行抛售。对于企业而言,须要有一个安全网来检测未检测到的数据泄露导致的暗网数据透露。当在暗网上检测到敏感数据透露时,数据透露检测服务会告诉受影响的企业,这样网络安全团队能够尽早爱护受损帐户。