网约车巨头优步拿走了它的一部分
在发现其内部系统后,周四晚些时候下线运营
已被妥协。 攻击者能够通过社会工程手段进入
在深入公司网络之前,员工的 Slack 帐户
说过。
虽然违反的全部程度尚未
揭露,声称对袭击负责的人(据报道,一名少年) 声称拥有大量电子邮件,
从谷歌云存储中窃取的数据和优步的专有源代码,
他发送给一些网络安全研究人员的“证据”,
包括《纽约时报》在内的媒体。
“他们几乎可以完全访问
优步,”Yuga Labs 的安全工程师 Sam Curry, 告诉《泰晤士报》. “这是一个彻底的妥协,从什么
看起来像。”
妥协多米诺骨牌
Slack 协作平台是
第一个系统下线,但其他内部系统很快跟进,
据报道。 就在禁用之前,攻击者发出了一个
给优步员工(其中一些 共用的,
在推特上):“我宣布我是一名黑客,Uber 遭遇了数据泄露
违反。”
罪犯还告诉研究人员和媒体,
违规行为始于给优步员工的短信,声称来自
企业信息技术。 “技术支持”消息只是要求输入密码,
工人交出来的。
“虽然没有官方解释
提供了,[显然]入侵者是
能够连接到企业 VPN 以访问更广泛的优步网络,
然后似乎以存储的管理员凭据的形式偶然发现了黄金
网络共享上的纯文本格式,”战略副总裁 Ian McShane
在北极狼,在一份声明中说。 “这是一个相当低的入门门槛
攻击,类似于以消费者为中心的攻击者打电话给人们
自称是 Microsoft 并让最终用户安装键盘记录器或远程
访问工具。”
在给《泰晤士报》的媒体声明中,优步
发言人确认社会工程是切入点,并且
简单说公司正在配合执法部门调查
违反。 通过 Twitter 公开, 公司
发布, “我们目前正在应对网络安全事件。 我们
与执法部门保持联系,并将在此处发布其他更新,因为他们
变得可用。”
据报道,黑客称他是
18岁,针对公司展示其弱安全性; 那里
也可能是黑客活动分子,因为他也在 Slack 消息中声明
对员工来说,优步司机应该得到更多的报酬。
“鉴于他们声称拥有的访问权限
获得,我很惊讶攻击者没有试图勒索或勒索,看起来
就像他们为 lulz 做的一样,”McShane 补充道。
不是 Uber 的第一次数据泄露之旅
优步是另一个大规模的主题
泄露,早在 2016 年。在那次事件中,网络攻击者偷走了个人
为 57 万客户和司机提供信息,要求 100,000 美元
换取不武器化数据(公司支付了)。 随后的刑事调查
导致 不起诉和解 与美国国务院
今年夏天的正义,其中包括优步承认它积极掩盖
违约的全部程度,其中 它甚至没有透露超过一年.
也与 2018 年的早期打击有关
优步入驻 全国民事诉讼 通过向所有人支付 148 亿美元
50 个州和哥伦比亚特区; 而且,具有讽刺意味的是,考虑到新的
事态发展,它同意“实施企业诚信计划,
特定的数据安全保护措施,以及事件响应和数据泄露
通知计划,以及两年期评估。”
