事件概述
Uber 於上週發佈聲明遭到惡意攻擊。經過週末的調查,Uber 雖然坐實了此次攻擊的真實性,卻表示因為公司並沒有存取用戶的帳號和個人資料,用戶的隱私,包含信用卡號碼、銀行帳號和叫車和行動記錄等等都沒有受到影響;此外,公司內部的營運系統和應用程式內部的程式碼皆無受到影響。
目前,Uber 內部報告指出,受到影響的範圍包含:公司內部 Slack 上的訊息、內部發票系統上的資訊以及 HackerOne 上的所有 Uber 漏洞報告。然而,目前 Uber 內部仍在調查何種資料有確實被惡意攻擊者下載和運用。目前已知駭客在 HackerOne 上的平台漏洞上所下載的漏洞報告,皆是完成修補的漏洞。
是誰做的?
Uber 認為此次攻擊背後的組織為 Lapsus$。
Lapsus$ 自去年起便開始活躍於世界各大資安事件中,且使用相似的攻擊手法。今年,Lapsus$ 也對 Microsoft、Cisco、Samsung、Nvidia 和 Okta 等企業進行了攻擊,造成內部資料的外洩,更在本週對遊戲公司 Rockstar Games 進行攻擊。
目前 Uber 正一起與 FBI 和美國司法部門對此次事件進行調查。
攻擊過程
首先,某名 Uber EXT 人員的設備遭到攻擊,其帳號和密碼被洩漏。而後,Lapsus$ 內部的惡意攻擊者透過暗網購買了其帳號和密碼。惡意攻擊者透過此帳號和密碼試圖登入該名 Uber EXT 人員的帳號,此舉不斷地對 Uber EXT 人員發送兩段驗證的請求,在 MFA fatigue 的效果下,此 Uber EXT 人員最終同意了惡意的登入請求。在成功登入此 Uber EXT 人員的帳號之後,攻擊者透過該人員的 VPN 掃瞄網路芳鄰,瀏覽眾多 PowrShell script 中,可取得特權管理系統(privilege management system)Thycotic 的高權限帳號。最後,惡意攻擊者透過此權限較高的帳號,進一步使用了公司內部的 G-suite 和 Slack;並聲稱取得其他服務的使用權,包括GCP、AWS、存取管理平臺 OneLogin 及雙因素驗證 DUO Security 的密碼等。
後續處理
Uber 表示,在發生事件後,已採取了以下行動,防止損失擴散:
(1) 辨識出所有被駭和可能被駭的人員帳號,將帳號封鎖或是強制進行帳號密碼的更新。
(2) 暫時關閉已經或可能受到影響的內部工具
(3) 封鎖程式碼庫,暫時不允許修改。
(4) 輪調多項內部服務的金鑰
(5) 要求所有員工重新驗證,並增加多段驗證的政策。
(6) 在內部環境增加監控機制, 用於偵測可疑活動。
參考資料
Uber Blames Lapsus$ for Breach, infosecurity (20 Sep 2022)- https://www.infosecurity-magazine.com/news/uber-blames-lapsus-for-breach/
Security Update, Uber (19 Sep 2022)- https://www.uber.com/newsroom/security-update/