Uber的漏洞突出了黑客的社交欺骗

　　2022年9月17日消息：叫车服务优步（Uber）上周五表示，在安全专业人士称之为重大数据泄露事件后，其所有服务都在运行，并声称没有证据表明黑客获得了敏感用户数据。

　　但是，显然是一名孤独的黑客破解了这一漏洞，这让人们关注到了涉及社会工程的日常工作中一个越来越有效的突破：黑客显然以同事的身份获得了访问权限，诱骗优步的一名员工交出了他们的资历。

　　然后，他们能够在网络上找到密码，从而获得为系统管理员保留的特权访问级别。

　　潜在的破坏是严重的：黑客与安全研究人员共享的屏幕截图表明，他们可以完全访问优步存储敏感客户和财务数据的基于云的系统。

　　目前尚不清楚黑客窃取了多少数据，也不知道他们在优步网络中呆了多久。两名直接与此人交流的研究人员表示，他们似乎对宣传感兴趣。此人自称是其中一位18岁的年轻人。没有迹象表明他们销毁了数据。

　　但与研究人员共享并广泛发布在Twitter和其他社交媒体上的文件表明，黑客能够访问优步最重要的内部系统。

　　“他的访问真的很糟糕，太可怕了，”与黑客在线聊天的研究人员之一科尔宾·利奥（Corbin Leo）说。

　　网络安全社区的在线反应-优步在2016年也遭遇了严重的漏洞-是严厉的。

　　德拉戈斯公司（Dragos Inc.）事故响应主管莱斯利·卡哈特（LesleyCarhart）在推特上表示，此次黑客攻击“并不复杂，也不复杂，显然与多个大型系统安全文化和工程故障有关”，该公司专门从事工业控制系统。

　　利奥说，黑客分享的截图显示，入侵者可以访问存储在亚马逊和谷歌云服务器上的系统，优步在这些服务器上保存源代码、财务数据和客户数据，如驾照。

　　“如果他有王国的钥匙，他可以开始停止服务。他可以删除东西。他可以下载客户数据，更改人们的密码，”安全公司Zellic的研究员兼业务开发主管利奥说。

　　黑客分享的截图显示了敏感的金融数据和访问的内部数据库，其中许多截图是在网上找到的。网络上也广泛流传：黑客周四在优步内部Slack协作系统上宣布了这一漏洞。

　　利奥和Yuga Labs的工程师萨姆·库里（Sam Curry）也与黑客进行了沟通，他们表示，没有迹象表明黑客造成了任何损害，或者除了宣传之外，他们对任何事情都感兴趣。

　　“很明显，他是一个年轻的黑客，因为他想要的是年轻黑客99%想要的东西，那就是名声，”利奥说。

　　库里说，他周四与几名优步员工进行了交谈，他们说，他们正在“努力在内部锁定一切”，以限制黑客的访问。他说，这包括旧金山公司的松弛网络。

　　优步上周五在网上发布的一份声明中表示，“我们昨天作为预防措施采取的内部软件工具正在重新上线。”

　　该公司表示，其所有服务-包括优步Eats和优步货运-都已投入运营，并已通知执法部门。联邦调查局通过电子邮件表示，它“意识到涉及优步的网络事件，我们对该公司的援助正在进行。”

　　优步表示，没有证据表明入侵者访问了“敏感用户数据”，如行程历史记录，但没有回答美联社的问题，包括数据是否加密存储。

　　库里和利奥说，黑客没有指出有多少数据被复制。优步没有建议用户采取任何具体行动，例如更改密码。

　　周四，黑客利用公司网络上的一个内部优步账户向研究人员发出了入侵警报，该账户用于发布通过其漏洞赏金计划（bug bounty program）发现的漏洞，该计划向道德黑客支付费用，以找出网络弱点。

　　在评论了这些帖子后，黑客提供了一个电报账户地址。库里和其他研究人员随后与他们进行了单独的对话，入侵者提供了截图作为证据。

　　AP试图联系Telegram账户的黑客，但没有收到回应。

　　网上发布的截图似乎证实了研究人员所说的黑客声称：他们通过社会工程获得了对优步最关键系统的特权访问。

　　显而易见的情况是：

　　黑客首先获得了一名优步员工的密码，很可能是通过网络钓鱼。黑客随后用推送通知轰炸该员工，要求他们确认远程登录其帐户。当该员工没有回应时，黑客通过WhatsApp联系，假装是IT部门的同事，并表示紧急。最终，该员工屈服了，并用鼠标点击确认。

　　社会工程是一种流行的黑客策略，因为人类往往是任何网络中最薄弱的环节。SocialProof Security的首席执行官雷切尔·托巴克（Rachel Tobac）说，2020年，青少年使用它来攻击Twitter，最近，它被用于科技公司Twilio和Cloudflare的黑客攻击。SocialRoof Security专门培训员工，使其不会成为社会工程的受害者。

　　Tobac在推特上写道：“事实上，世界上大多数组织都可能被黑客入侵，就像Uber被黑客入侵一样。”。在一次采访中，她说“即使是精通技术的人每天都会爱上社会工程方法。”

　　SecurityScorecard的高级威胁分析师Ryan Sherstobitoff说：“攻击者越来越擅长绕过或劫持MFA（多因素身份验证）。”。

　　这就是为什么许多安全专家提倡使用所谓的FIDO物理安全密钥进行用户身份验证。然而，在科技公司中，这种硬件的采用并不稳定。

　　对比安全公司的汤姆·凯勒曼（Tom Kellermann）说，这次黑客攻击还突出了在基于云的系统中进行实时监控的必要性，以更好地检测入侵者。“必须更加注意从内部保护云”，因为一把主钥匙通常可以打开所有的门。

　　一些专家质疑优步自2016年遭到黑客攻击以来，网络安全有了多大改善。

　　该公司前首席安全官约瑟夫·沙利文（Joseph Sullivan）目前正在受审，据称他安排向黑客支付10万美元，以掩盖这起高科技盗窃案，当时约5700万名客户和司机的个人信息被盗。