一个 18 岁的青少年如何在不入侵单个系统的情况下入侵 Uber

对于 Uber 员工来说，9 月 16 日是 Slack 的常规日子。团队成员正在谈论他们本周的日程安排以及他们项目的最新更新。理想情况下，几个频道充满了通常的玩笑和闲聊，而其他频道则安静——等待有人打破沉默。

可以肯定地说，似乎没有什么不合适的。甚至没有加入公司频道的新用户。该用户使用的名称为“Nwave”，但没有个人资料图片、传记或职位描述。但是没有人想太多——没有一个员工有理由这样做。工人们一直在修改配置文件。

然后，发生了另一件事。新来者宣布他们已经侵入了优步的数据。根据截图发布在社交媒体平台上，消息内容如下：

宣布之后出现了大量的表情符号——讽刺的警笛声、悠闲的爆米花、嘲弄的面孔和轻松的警报。在工作人员看来，这条信息的厚颜无耻就像是 TikTok 的恶作剧。他们认为这是一个笑话，并制作了 GIF 来模仿这种情况。有些人甚至开始与黑客互动。

那时，没有人知道黑客攻击的程度，而且一名学习网络安全的 18 岁入侵者将优步用作练习场。更重要的是，工作人员不知道这样的消息会登上报纸的头版。纽约时报，引发合作伙伴的多次安全警报和网络安全行业的反应。

首先，Uber 的违规行为是如何发生的？让我们从剖析公告开始。

我是一名黑客，Uber 遭遇了数据泄露…… ”

黑客拥有先进的计算机系统和网络知识，可以利用这些知识闯入或“侵入”其他人的系统。黑客分为三种：

• 黑帽：黑帽黑客恶意使用他们的技能来访问或以其他方式破坏计算机系统和网络。他们通常在未经许可的情况下这样做，并且经常造成伤害，例如窃取信息或金钱。

• 白帽：白帽黑客通过发现系统中的安全漏洞，并在造成实际伤害之前报告其修复情况，从而充分利用他们的技能。

• 灰帽：灰帽黑客执行黑客活动，但其行为背后可能没有恶意动机。相反，他们可能有兴趣了解事物的运作方式或玩弄新技术以获得乐趣。

  
  

在发表的一篇文章中信息安全研究所，对强调安全意识的黑客进行剖析有心理上的好处。尽管如此，如果我们必须将影响力从黑客转移到被黑客攻击的人身上，剖析可以达到一定的水平。在优步的案例中，后者占了上风。

劫机者的名字无处可寻。我们对他的了解是，他们是一名少年（18 岁），声称刚刚学会了一些网络安全技能。但优步说他们隶属于拉普苏斯$ ，一个臭名昭著的黑客组织。不过，他们是黑帽、白帽还是灰帽？进一步的细节将揭示这一点。让我们看看违规行为。

数据泄露或泄漏是发生未经授权访问数据的安全事件。访问的数据可能是机密的、私人的或公共的。一个IBM 报告2022 年美国数据泄露的总成本为 424 万美元。

统计范围缩小了。一个比较技术研究指出加利福尼亚州是 15 年内美国遭受数据泄露最多的州。令人担忧的是，优步总部位于加利福尼亚州旧金山。尽管如此，在我们知道什么被盗或暴露之前，我们无法判断违规的影响或对黑客的结论。

...... Slack 被盗，机密数据，以及来自运动鞋的秘密......'

Slack 是一种流行的组织交流工具，通常被称为“企业 Facebook”。这是让公司中的每个人都了解项目的好方法，因为它可以帮助团队共享文档和文件。

由于其多种协作功能和集成优势，Slack 拥有超过1000万活跃用户。此外，据报道，财富 100 强企业中有 65% 的人为该平台付费，还有 750,000 个组织。 DMR .

尽管有好处，但 Slack 也不能幸免于网络威胁。它的用户增长确保它经常成为黑客的渗透目标。如果劫机者没有针对整个平台，他们正在调查平台上的个别公司以进行破坏。

2015年，松弛遭受一次重大的网络攻击。这种影响导致采用双因素身份验证。尽管该公司自那时以来并未遭到全面入侵，但它已成为渗透其他公司的后门途径。社交媒体巨头，推特，在 2020 年被 Slack 入侵；视频游戏制造商，电子艺术，2021年；现在是叫车服务优步。

在所有这些违规行为中，公司丢失了几条价值数百美元的数据。优步也是如此。黑客提到窃取了 Uber 的 Atlassian Confluence、名为stash的存储数据，以及来自跨平台软件 Phabricator 的两个单一存储库（一个包含许多项目的存储库）。他们进一步分享了他们已经准备好泄露运动鞋的秘密，并发布了截图来支持它们。

优步，在其报告中，确认未经授权的访问。它减少了内部通信和工程系统的盗窃，其中包括 Slack 服务器、AWS 控制台、Google Workspace、VMware 虚拟机、企业电子邮件帐户，最重要的是，该公司的 HackerOne 漏洞赏金计划，研究人员在该计划中讨论关键的 IT 漏洞。

uberunderpaisdrives

很容易，公告中最深刻的声明是标签#uberunderpaysdrivers ，错误地拼写为#uberunderpaisdrives。黑客利用他们的技能引起社会或经济变化，或发表政治声明的情况并不少见。但这是否将这个入侵者的行为定性为白帽、黑帽或灰帽？

从表面上看，优步可能会少付司机工资。 2017年，网约车公司承认意外少付在纽约市骑手两年多。然而，深入研究后，众所周知，黑客隐藏在社会宣传之下以获取公众情绪。

因此，给入侵者贴上标签似乎很匆忙。随着调查的继续，损坏程度尚不清楚。该黑客是否可以访问敏感的客户数据以及他们计划如何处理这些数据仍不清楚。鉴于这些人已经向纽约时报展示了自己，甚至 分享了他们的 电报频道对于白帽讨论，成为 Lapsus$ 的一部分对于更大的计划来说是黑帽。

肉：黑客如何进入

根据一系列推文 科尔本·里奥, 首席营销官 Zellic.io, 山姆库里, 安全工程师, Yugalabs, 和VX-地下，黑客使用了社会工程加上 MFA 疲劳。

社会工程使用人类交互和操纵来访问计算机系统。社会工程师使用欺骗、影响和说服来诱骗人们放弃机密信息、执行操作或安装危及安全的软件。他们经常伪装成目标组织或公司的成员，或者他们可能完全伪装成其他人（例如，执法人员）。

PurpleSec 报告称，超过 98% 的网络攻击依赖于社会工程来显示这种攻击形式的严重性。

MFA疲劳是指用户对多因素身份验证（MFA）感到厌倦并最终选择不遵守它。发生这种情况有几个原因，但最常见的原因是用户觉得 MFA 太不方便或烦人。在 Uber 的案例中，它是这样发生的：

• 黑客使用了几种社会工程技术来入侵优步员工（可能是员工）的账户。
• 攻击者从他们的帐户中反复发送有关需要 MFA 的通知。这导致员工的 MFA 疲劳，最终放弃了合规性。
• 攻击者随后假装是 Uber IT 的成员发送了一条 WhatsApp 消息，请求登录批准。该员工遵守并允许他们访问他们的 Slack 帐户。
• 攻击者从 Slack 开始访问网络资源，目标是 PowerShell 脚本。
• 其中一个脚本包含管理员帐户的硬编码凭据，这使攻击者可以访问多个其他系统。

MFA 疲劳并不是一个新的攻击向量——它被用来对抗邮件黑猩猩和特维利奥今年八月。事实上，优步在 2016 年也遭遇了类似的命运，当时它向入侵者丢失了敏感数据。

优步违规事件中的网络安全教训

这一违规行为促使许多专家对公司可以采取哪些措施来防止未来发生此类攻击发表意见。以下是来自 CyberWire 网络安全专家的初步经验教训：

#1。攻击者有优势

Axio 的参谋长 Jai Dargan 再次提醒我们，攻击是不可避免的。尽管我们不知道这次攻击的幕后黑手是谁，但可以肯定的是，他们资金充足且积极性很高。为了突出影响，世界经济论坛洞察报告将网络攻击和数据欺诈列为公司最令人担忧的前景中的第三位。

黑客还让我们一瞥攻击者是如何演变的。 Traceable AI 的联合创始人兼首席执行官 Jyoti Bansal 表示，“Uber 的违规行为是攻击者如何比防御者拥有如此优势以及他们的目标如何演变的一个例子。”攻击者不再像过去那样寻求快速获利。现在，他们正试图窃取数据以备将来使用——这意味着防御者必须采用这种方法。

#2。 MFA 还不够

多年来，多因素身份验证 (MFA) 一直是标准。但是，考虑到攻击者可以绕过它的所有方式，它不再可靠。 CyberArk 进行了分析并找到了至少四种可以规避 MFA 或减少其好处的方法。结果表明，仅 MFA 是不够的。

相反，SENHASEGURA 北美副总裁 Darryl Athans 希望组织将特权访问管理 (PAM) 以及用户和实体行为分析 (UEBA) 纳入其 MFA。前者确保只有授权用户才能访问敏感数据。后者监控用户行为并检测异常情况以在潜在威胁成为问题之前识别它们。

#3。人际关系薄弱

优步的违规行为提醒人们，人类是任何安全系统中最薄弱的环节。当有人可以打电话给您的手机公司并冒充您时，强密码和双重身份验证是不够的。前 NSA 局长海军上将 Michael S. Rogers 认为解决方案是提高用户的安全意识。以下是实现这一目标的建议方法：

• 让您的用户了解社会工程风险以及如何避免这些风险。

• 确保您的员工花时间定期更改密码，并使用安全的密码管理器来帮助他们这样做。

• 开展一场关于 MFA 疲劳的宣传活动，包括有关它是什么、它对网络安全的影响以及它们能做什么的信息。

• 培训您的员工识别网络钓鱼通知。这将帮助他们在爱上恶意警报之前捕捉到恶意警报。

  
  

#4。零信任是必要的

另一个教训是需要通过验证和验证安全过程的每个阶段来消除隐式信任。这样做被称为零信任，并且根据IBM 的报告，它有助于降低成本。与不采用零信任的公司相比，采用零信任的公司通常少 176 万美元。

Banyan Security 产品营销副总裁 John Dasher 认为，解决方案是通过完善的零信任技术来弥补人类的弱点。通过采用零信任策略、使用最小权限访问原则和设备信任，您可以帮助排除人为判断。

违规后优步的下一步是什么？

优步宣布，它在将其内部软件工具作为违规后采取的预防措施后将其带回。服务现已投入使用。在其最新报告中，它表示没有敏感的用户数据受到损害。然而，专家认为该漏洞是深度访问。

根据Comparitech 的一项研究，由于品牌认知度差，遭受违规行为的公司在市场上表现不佳。这一违规行为已经影响了优步在市场上的表现。周二检查，（纽约证券交易所代码：UBER）股价在盘前交易中下跌 0.35%，至 31.38 美元。优步如何处理这种情况还有待观察——它们能否以足够快的速度为投资者和客户带来反弹。

更新

英国警方逮捕了 Uber 违规事件背后的黑客，他的名字已被披露为 Tea Pot（又名teapotuberhacker）。据说这名年轻人大约 17 岁，而不是之前认为的 18 岁。

根据伦敦市警方的一条推文，他与其他七名青少年在牛津郡被捕。黑客使用“Breachbase”和“White”作为他的在线别名。报道称，他从网络犯罪中赚了大约 1400 万美元。