吳明宜Uber 本周指出,一名與 Lapsus$有關的駭客上周駭入其內部系統,但重申沒有客戶或用戶資料外洩。
上周四 Uber 多項系統遭駭客存取,包括 Slack 、 AWS 及 Google Cloud Platform,迫使將多項系統關閉。
這次事件前幾天,這個組織的駭客也宣稱駭人知名遊戲開發商 Rockstar Games,並且公佈該公司尚未發行的熱門電玩《俠盜獵車手 VI: Grand Theft Auto VI》數十支影片。周一 Uber 的安全公告也提及 Rockstar Games 事件,但未說明是同一個駭客組織。
Lapsus$ 2021 年發動勒索軟體攻擊巴西衛生部,竊取數百萬 COVID-19 疫苗接種資料。但真正使其出名的是駭入 Nvidia 、三星、微軟和 Vodafone,還公佈了部份資料。倫敦警方今年 3 月逮捕了 7 名青少年成員後,Lapsus$暫時沈寂了一段日子。
Uber 周末著手調查,並於本周一證實被駭,也公佈了來龍去脈。 Uber 說,駭客可能是從暗網買到一名 Uber 約聘員工的公司帳號密碼,而得以駭入公司網路。這名員工則可能是因為個人電腦或手機感染了惡意軟體,導致帳密外洩。 Uber 已經報警,正和 FBI 及美國司法部密切合作。
隨後駭客多次想以這名員工的帳密登入其 Uber 帳號。由於 Uber 導入了雙因素驗證 (2FA),因此該員工多次接到登入要求。他一開始不允許,但最後接受了一次,而讓駭客成功登入 Uber 網路。
不過駭客上周自己在網路上說自己是假扮 IT 部門發送詐騙簡訊而騙到 Uber 員工的公司系統密碼。
總之這名駭客由此存取 Uber 其他員工的帳號,進而取得多個系統更高的權限,包括 G Suite 和 Slack,還在公司 Slack 頻道貼文,並設定 OpenDNS,而在員工登入某些內部網站時顯示色情圖片。
最後駭客在 Slack 平台上貼文公告自己是駭客,Uber 已經資料外洩。這則擷圖甚至流傳在推特上,然後列出他們已經駭入的 Uber 系統,還說 Uber 苛扣外送員薪水。
Uber 說駭客下載了一些 Slack 上的訊息,並從財務部的發票管理系統上下載了一些資料。但 Uber 說公司原始碼,以及敏感客戶資料,包括可辨識身份的個資及信用卡、銀行帳戶資料都沒受影響。
不過為強化安全性,Uber 已強迫帳號被駭的員工及約聘人員重設密碼,否則不准存取內部系統。 Uber 也輪換了多個內部服務的金鑰,還封鎖自家的程式庫以防止任何變更。
Uber 承認駭客存取他們在抓漏平台 HackerOne 的儀表板 (dashboard),這是外部安全研究人員通報漏洞的地方。不過 Uber 說任何在 HackerOne 通報的漏洞,都已經修補了。
來源:The Verge