Uber被黑，内部系统和机密文件均遭到破坏

据悉，Uber再次遭到入侵，威胁行为者访问了其电子邮件和云系统、代码存储库、内部Slack帐户和HackerOne票据，攻击者渗透其内部网络并访问内部文件，包括漏洞报告。

据《纽约时报》报道，威胁者入侵了一名员工的Slack账户，并用它来通知内部人员该公司“遭受了数据泄露”，并提供了一份据称被黑客入侵的内部数据库列表。

“我宣布我是一名黑客，Uber遭到数据泄露。”

该公司被迫使其内部通信和工程系统离线，以减轻攻击并调查入侵。

据称，攻击者破坏了多个内部系统，并向《纽约时报》和一些网络安全研究人员提供了电子邮件、云存储和代码存储库的图像。“他们几乎可以完全访问Uber，”Yuga Labs的安全工程师Sam Curry说，他与声称对此次违规行为负责的人进行了通信。“从它的样子来看，这是一个彻底的妥协。”

攻击者还可以访问公司的HackerOne漏洞赏金计划，这意味着他们可以访问白帽黑客提交给公司的每个漏洞报告。这些信息非常重要，威胁者可以利用它发动进一步的攻击。目前无法排除报告包含有关公司尚未修复的一些缺陷的技术细节。

HackerOne已立即禁用Uber漏洞赏金计划，阻止对报告问题列表的任何访问。公司发言人证实，Uber通知执法部门并开始对事件进行内部调查。

Uber首席信息安全官Latha Maripuri通过电子邮件告诉《纽约时报》：“我们目前无法估计何时恢复对工具的完全访问权限，因此感谢您对我们的支持。”

员工被指示不要使用内部消息服务Slack，其中一些不愿透露姓名的员工告诉纽约时报，其他内部系统无法访问。

这名黑客自称18岁，并补充说优步的安全性很弱，在通过Slack发送的消息中，他还表示优步司机应该获得更高的工资。

据悉，这不是Uber第一次遭遇安全漏洞。2017年，2016年发生的另一起数据泄露事件成为头条新闻。

2017年11月，Uber首席执行官Dara Khosrowshahi宣布黑客侵入了公司数据库并访问了5700万用户的个人数据（姓名、电子邮件地址和手机号码），令人不安的发现是该公司掩盖了黑客行为一年多。攻击者还访问了其在美国大约600,000名司机的姓名和驾照号码。

黑客事件发生在2016年，根据彭博社发布的一份报告，黑客很容易从公司开发团队使用的私人GitHub站点获取凭据。黑客试图勒索优步，并要求该公司支付10万美元，以换取避免公布被盗数据。

信息安全主管乔·沙利文（Joe Sullivan）没有按照加州数据安全违规通知法的要求向客户和执法部门通知数据泄露事件，而是下令支付赎金并掩盖破坏任何证据的故事。奖金被伪装成漏洞赏金，并签署了保密协议。

如果Slack被判有罪，这将是第一次有安全专业人员因此类事件而被追究个人责任。

编辑：陈十九

审核：商密君

点击购买《2020-2021中国商用密码产业发展报告》

来源：E安全

注：内容均来源于互联网，版权归作者所有，如有侵权，请联系告知，我们将尽快处理。