Uber 數(shù)據(jù)泄露始于一名黑客從暗網(wǎng)市場購買屬于一名 Uber 員工的被盜憑證。最初嘗試使用這些憑據(jù)連接到 Uber 的網(wǎng)絡失敗，因為該帳戶受 MFA 保護。為了克服這一安全障礙，黑客通過 What’s App 聯(lián)系了 Uber 員工，并假裝是 Uber 的安全人員，要求該員工批準將 MFA 通知發(fā)送到他們的手機。然后，黑客向該員工的手機發(fā)送了大量 MFA 通知，為了免除騷擾，該 Uber 員工批準了 MFA 請求授予黑客網(wǎng)絡訪問權(quán)限，最終導致了數(shù)據(jù)泄露。據(jù)悉這已經(jīng)不是Uber第一次被黑客攻擊。早在2016年，兩名黑客入侵了 Uber 的系統(tǒng)，獲取了 5700 萬 Uber 應用用戶的姓名、電子郵件地址和電話號碼。
?

黑客訪問了哪些數(shù)據(jù)？

在成功連接到 Uber 的內(nèi)部網(wǎng)后，黑客獲得了對該公司 VPN 的訪問權(quán)限。授予攻擊者如此高級別訪問權(quán)限的關(guān)鍵漏洞是 PowerShell 腳本中的硬編碼憑據(jù)。這些憑據(jù)使管理員可以訪問特權(quán)訪問管理 (PAM) 系統(tǒng)：Thycotic。該工具擁有大量特權(quán)，它存儲用于員工訪問內(nèi)部服務和第三方應用程序的最終用戶憑據(jù)，以及在軟件開發(fā)環(huán)境中使用的 DevOps 機密信息。PAM 系統(tǒng)控制對多個系統(tǒng)的訪問，擁有管理員訪問權(quán)限意味著可以給自己或提取所有連接系統(tǒng)的秘密。這讓攻擊者可以完全訪問 Uber 的所有內(nèi)部系統(tǒng)。
?

也就是說攻擊者擁有了對 Uber 所有敏感服務（包括 DA、DUO、Onelogin、Amazon Web Services (AWS) 和 GSuite）的完全管理員訪問，這也顯著增加了數(shù)據(jù)泄露的嚴重性。據(jù)稱，黑客還訪問了 Uber 的漏洞賞金報告，這些報告通常包含尚未修復的安全漏洞的詳細信息。這名黑客被認為與網(wǎng)絡犯罪組織 Lapsus$ 有關(guān)聯(lián)，他在與 Uber 網(wǎng)絡安全研究員的談話中透露了這次攻擊的細節(jié)（見下圖）。
?

數(shù)據(jù)泄露的嚴重后果

如果黑客是出于經(jīng)濟利益的動機，他很可能會在暗網(wǎng)市場上出售 Uber 的漏洞賞金報告。鑒于漏洞賞金計劃的發(fā)現(xiàn)可能造成毀滅性的數(shù)據(jù)泄露影響，它會以非常高的價格出售。幸運的是這名黑客并無意造成企業(yè)巨大損失和影響，而是在享受成功的網(wǎng)絡攻擊帶來的成就感和隨之而來的黑客社區(qū)的尊重。要知道當 Uber 在 2016 年遭到黑客入侵時，向網(wǎng)絡犯罪分子支付了 100,000 美元的贖金，以換取刪除他們被盜數(shù)據(jù)的副本。
?

此次數(shù)據(jù)泄露事件的關(guān)鍵是 Uber 的特權(quán)訪問管理（PAM）平臺因管理員憑據(jù)暴露而受到損害。特權(quán)訪問管理（PAM）是用于保護、控制和監(jiān)視員工對組織的關(guān)鍵信息和資源的訪問的工具和技術(shù)的組合。而黑客攻擊者極有可能已經(jīng)獲得了對 Uber 幾乎所有內(nèi)部系統(tǒng)的訪問權(quán)限。盡管黑客沒有展開進一步攻擊，我們?nèi)杂斜匾チ私膺@件事情的嚴重性。
?

Thycotic

Thycotic PAM 系統(tǒng)擁有大量特權(quán)，它存儲用于員工訪問內(nèi)部服務和第三方應用程序的最終用戶憑據(jù)，以及在軟件開發(fā)環(huán)境中使用的 DevOps 機密信息。它可以控制對不同服務的訪問，還有一個存儲憑據(jù)和密碼的機密管理器。在此次數(shù)據(jù)泄露事件中，這是 Uber 需要面臨的最可怕的情況。
?

AWS

AWS 實例控制著 Uber 應用程序的云基礎設施。根據(jù)配置、權(quán)限和體系結(jié)構(gòu)，攻擊者可能會關(guān)閉服務、濫用計算資源、訪問敏感用戶數(shù)據(jù)、刪除或勒索數(shù)據(jù)、更改用戶訪問權(quán)限等等。
?

VMWare vSphere

VMware vSphere 是一個云計算虛擬化平臺。這是一個非常關(guān)鍵且重要的平臺，因為它與云計算和本地服務器接口，可以讓攻擊訪問受控的本地服務器以及許多幫助攻擊者深入系統(tǒng)的管理功能。
?

SentinelOne

SentinelOne 是一個 XDR（擴展檢測和響應）平臺。簡而言之，這個平臺連接到企業(yè)的關(guān)鍵任務系統(tǒng)，讓企業(yè)知道是否存在安全問題。任何可以獲得該系統(tǒng)特權(quán)訪問權(quán)限的攻擊者都可以混淆他們的活動并延長他們的攻擊時間。XDR 可以為事件響應 (IR) 團隊植入“后門”，例如允許 IR 團隊“進入”員工機器并可能擴大攻擊者的訪問范圍。
?

Uber 數(shù)據(jù)泄露的4個經(jīng)驗教訓

我們可以從 Uber 數(shù)據(jù)泄露事件中可以吸取一些重要的網(wǎng)絡安全教訓，通過將這些經(jīng)驗應用到網(wǎng)絡安全工作中，可以幫助企業(yè)避免遭遇類似問題。
?

1. 加強網(wǎng)絡安全意識培訓

Uber 員工在攻擊的初始階段為了擺脫大量 MFA 請求而批準，這一事實證明了企業(yè)人員對一種稱為“MFA 疲勞”的很常見的 MFA 利用策略認識不足。如果 Uber 員工意識到這種策略的嚴重性，他們將會及時報告威脅，從而避免數(shù)據(jù)泄露事件發(fā)生。黑客還利用社交工程（Social Engineer）技術(shù)糊弄 Uber 員工，讓他們以為自己是Uber安全團隊的成員，這是另一種常見且需要高度警惕的網(wǎng)絡攻擊策略。 實施網(wǎng)絡意識培訓，讓員工深刻認識到 MFA 疲勞和社交工程詐騙這兩種常見網(wǎng)絡攻擊方法很關(guān)鍵。
?

2. 了解常見的 MFA 利用方法

并非所有的多重身份驗證協(xié)議都需要設置為一致的。企業(yè)的網(wǎng)絡安全團隊應該將當前的 MFA 流程與常見的利用策略進行比較，并在需要時升級身份驗證協(xié)議的復雜性以減輕利用風險。
?

3. 避免硬編碼管理員登陸憑證

在此次事件中最重大的安全問題可能是在 Powershell 腳本中硬編碼管理員憑據(jù)。閱讀 Powershell 腳本并發(fā)現(xiàn)其中包含的管理員憑據(jù)，未經(jīng)授權(quán)的用戶便可以訪問Uber 敏感系統(tǒng)。如果遵循安全編碼實踐，就可以避免此安全漏洞。請確保管理員憑據(jù)始終安全地存儲在密碼庫中，并且永遠不要在任何地方進行硬編碼。
?

4. 使用數(shù)據(jù)泄露檢測服務

如果 Uber 黑客出于利益目的，客戶數(shù)據(jù)就會被竊取并且在暗網(wǎng)上進行兜售。對于企業(yè)而言，需要有一個安全網(wǎng)來檢測未檢測到的數(shù)據(jù)泄露導致的暗網(wǎng)數(shù)據(jù)泄漏。當在暗網(wǎng)上檢測到敏感數(shù)據(jù)泄漏時，數(shù)據(jù)泄漏檢測服務會通知受影響的企業(yè)，這樣網(wǎng)絡安全團隊可以盡早保護受損帳戶。文章來源地址http://www.zghlxwxcb.cn/news/detail-442638.html

到了這里，關(guān)于從 Uber 數(shù)據(jù)泄露事件我們可以學到什么？的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！