Uber導入雙因素認證卻因為員工失手允許登入要求導致駭客入侵

Uber本周指出，一名與Lapsus$有關的駭客上周駭入其內部系統，但重申沒有客戶或用戶資料外洩。

上周四Uber多項系統遭駭客存取，包括Slack、AWS及Google Cloud Platform，迫使將多項系統關閉。

這次事件前幾天，這個組織的駭客也宣稱駭人知名遊戲開發商Rockstar Games，並且公佈該公司尚未發行的熱門電玩《俠盜獵車手VI: Grand Theft Auto VI》數十支影片。周一Uber的安全公告也提及Rockstar Games事件，但未說明是同一個駭客組織。

Lapsus$ 2021年發動勒索軟體攻擊巴西衛生部，竊取數百萬COVID-19疫苗接種資料。但真正使其出名的是駭入Nvidia、三星、微軟和Vodafone，還公佈了部份資料。倫敦警方今年3月逮捕了7名青少年成員後，Lapsus$暫時沈寂了一段日子。

Uber周末著手調查，並於本周一證實被駭，也公佈了來龍去脈。Uber說，駭客可能是從暗網買到一名Uber約聘員工的公司帳號密碼，而得以駭入公司網路。這名員工則可能是因為個人電腦或手機感染了惡意軟體，導致帳密外洩。Uber已經報警，正和FBI及美國司法部密切合作。

隨後駭客多次想以這名員工的帳密登入其Uber帳號。由於Uber導入了雙因素驗證(2FA)，因此該員工多次接到登入要求。他一開始不允許，但最後接受了一次，而讓駭客成功登入Uber網路。

不過駭客上周自己在網路上說自己是假扮IT部門發送詐騙簡訊而騙到Uber員工的公司系統密碼。

總之這名駭客由此存取Uber其他員工的帳號，進而取得多個系統更高的權限，包括G Suite和Slack，還在公司Slack頻道貼文，並設定OpenDNS，而在員工登入某些內部網站時顯示色情圖片。

最後駭客在Slack平台上貼文公告自己是駭客，Uber已經資料外洩。這則擷圖甚至流傳在推特上，然後列出他們已經駭入的Uber系統，還說Uber苛扣外送員薪水。

Uber說駭客下載了一些Slack上的訊息，並從財務部的發票管理系統上下載了一些資料。但Uber說公司原始碼，以及敏感客戶資料，包括可辨識身份的個資及信用卡、銀行帳戶資料都沒受影響。

不過為強化安全性，Uber已強迫帳號被駭的員工及約聘人員重設密碼，否則不准存取內部系統。Uber也輪換了多個內部服務的金鑰，還封鎖自家的程式庫以防止任何變更。

Uber承認駭客存取他們在抓漏平台HackerOne的儀表板(dashboard)，這是外部安全研究人員通報漏洞的地方。不過Uber說任何在HackerOne通報的漏洞，都已經修補了。