Uber 數據泄露始于一名黑客從暗網市場購買屬于一名 Uber 員工的被盜憑證。最初嘗試使用這些憑據連接到 Uber 的網絡失敗,因為該帳戶受 MFA 保護。為了克服這一安全障礙,黑客通過 What’s App 聯系了 Uber 員工,并假裝是 Uber 的安全人員,要求該員工批準將 MFA 通知發送到他們的手機。然后,黑客向該員工的手機發送了大量 MFA 通知,為了免除騷擾,該 Uber 員工批準了 MFA 請求授予黑客網絡訪問權限,最終導致了數據泄露。據悉這已經不是Uber第一次被黑客攻擊。早在2016年,兩名黑客入侵了 Uber 的系統,獲取了 5700 萬 Uber 應用用戶的姓名、電子郵件地址和電話號碼。
黑客訪問了哪些數據?
在成功連接到 Uber 的內部網后,黑客獲得了對該公司 VPN 的訪問權限。授予攻擊者如此高級別訪問權限的關鍵漏洞是 PowerShell 腳本中的硬編碼憑據。這些憑據使管理員可以訪問特權訪問管理 (PAM) 系統:Thycotic。該工具擁有大量特權,它存儲用于員工訪問內部服務和第三方應用程序的最終用戶憑據,以及在軟件開發環境中使用的 DevOps 機密信息。PAM 系統控制對多個系統的訪問,擁有管理員訪問權限意味著可以給自己或提取所有連接系統的秘密。這讓攻擊者可以完全訪問 Uber 的所有內部系統。
也就是說攻擊者擁有了對 Uber 所有敏感服務(包括 DA、DUO、Onelogin、Amazon Web Services (AWS) 和 GSuite)的完全管理員訪問,這也顯著增加了數據泄露的嚴重性。據稱,黑客還訪問了 Uber 的漏洞賞金報告,這些報告通常包含尚未修復的安全漏洞的詳細信息。這名黑客被認為與網絡犯罪組織 Lapsus$ 有關聯,他在與 Uber 網絡安全研究員的談話中透露了這次攻擊的細節(見下圖)。
圖片來源:Twitter
數據泄露的嚴重后果
如果黑客是出于經濟利益的動機,他很可能會在暗網市場上出售 Uber 的漏洞賞金報告。鑒于漏洞賞金計劃的發現可能造成毀滅性的數據泄露影響,它會以非常高的價格出售。幸運的是這名黑客并無意造成企業巨大損失和影響,而是在享受成功的網絡攻擊帶來的成就感和隨之而來的黑客社區的尊重。要知道當 Uber 在 2016 年遭到黑客入侵時,向網絡犯罪分子支付了 100,000 美元的贖金,以換取刪除他們被盜數據的副本。
此次數據泄露事件的關鍵是 Uber 的特權訪問管理(PAM)平臺因管理員憑據暴露而受到損害。特權訪問管理(PAM)是用于保護、控制和監視員工對組織的關鍵信息和資源的訪問的工具和技術的組合。而黑客攻擊者極有可能已經獲得了對 Uber 幾乎所有內部系統的訪問權限。盡管黑客沒有展開進一步攻擊,我們仍有必要去了解這件事情的嚴重性。
Thycotic
Thycotic PAM 系統擁有大量特權,它存儲用于員工訪問內部服務和第三方應用程序的最終用戶憑據,以及在軟件開發環境中使用的 DevOps 機密信息。它可以控制對不同服務的訪問,還有一個存儲憑據和密碼的機密管理器。在此次數據泄露事件中,這是 Uber 需要面臨的最可怕的情況。
AWS
AWS 實例控制著 Uber 應用程序的云基礎設施。根據配置、權限和體系結構,攻擊者可能會關閉服務、濫用計算資源、訪問敏感用戶數據、刪除或勒索數據、更改用戶訪問權限等等。
VMWare vSphere
VMware vSphere 是一個云計算虛擬化平臺。這是一個非常關鍵且重要的平臺,因為它與云計算和本地服務器接口,可以讓攻擊訪問受控的本地服務器以及許多幫助攻擊者深入系統的管理功能。
SentinelOne
SentinelOne 是一個 XDR(擴展檢測和響應)平臺。簡而言之,這個平臺連接到企業的關鍵任務系統,讓企業知道是否存在安全問題。任何可以獲得該系統特權訪問權限的攻擊者都可以混淆他們的活動并延長他們的攻擊時間。XDR 可以為事件響應 (IR) 團隊植入“后門”,例如允許 IR 團隊“進入”員工機器并可能擴大攻擊者的訪問范圍。
Uber 數據泄露的4個經驗教訓
我們可以從 Uber 數據泄露事件中可以吸取一些重要的網絡安全教訓,通過將這些經驗應用到網絡安全工作中,可以幫助企業避免遭遇類似問題。
1. 加強網絡安全意識培訓
Uber 員工在攻擊的初始階段為了擺脫大量 MFA 請求而批準,這一事實證明了企業人員對一種稱為“MFA 疲勞”的很常見的 MFA 利用策略認識不足。如果 Uber 員工意識到這種策略的嚴重性,他們將會及時報告威脅,從而避免數據泄露事件發生。黑客還利用社交工程(Social Engineer)技術糊弄 Uber 員工,讓他們以為自己是Uber安全團隊的成員,這是另一種常見且需要高度警惕的網絡攻擊策略。 實施網絡意識培訓,讓員工深刻認識到 MFA 疲勞和社交工程詐騙這兩種常見網絡攻擊方法很關鍵。
2. 了解常見的 MFA 利用方法
并非所有的多重身份驗證協議都需要設置為一致的。企業的網絡安全團隊應該將當前的 MFA 流程與常見的利用策略進行比較,并在需要時升級身份驗證協議的復雜性以減輕利用風險。
3. 避免硬編碼管理員登陸憑證
在此次事件中最重大的安全問題可能是在 Powershell 腳本中硬編碼管理員憑據。閱讀 Powershell 腳本并發現其中包含的管理員憑據,未經授權的用戶便可以訪問Uber 敏感系統。如果遵循安全編碼實踐,就可以避免此安全漏洞。請確保管理員憑據始終安全地存儲在密碼庫中,并且永遠不要在任何地方進行硬編碼。
4. 使用數據泄露檢測服務
如果 Uber 黑客出于利益目的,客戶數據就會被竊取并且在暗網上進行兜售。對于企業而言,需要有一個安全網來檢測未檢測到的數據泄露導致的暗網數據泄漏。當在暗網上檢測到敏感數據泄漏時,數據泄漏檢測服務會通知受影響的企業,這樣網絡安全團隊可以盡早保護受損帳戶。
