叫車平臺大廠Uber遭駭,經過調查Uber指稱是曾經囂張宣揚駭入過微軟及三星的Lapsus$重出江湖所為,藉由取得約聘員工帳密而得逞。雖然部分系統被駭客存取,但Uber稱客戶信用卡資料、營運系統、或公司程式碼都沒被影響到。
整起事件是一名Uber EXT約聘人員帳號被駭而起。根據Uber說明,可能是該約聘員工個人裝置感染惡意程式,致其帳密外流,而後被駭客自地下網站購得。攻擊者之後以其帳密登入該名員工Uber帳號。大多數情況下,由於公司有雙因素驗證,該員工起初都拒絕登入請求,但最後不知為何同意,而使攻擊者成功登入Uber公司網路。
而後駭客由此存取了多名其他員工帳號,進而取得G-Suite及Slack等管理員權限,並在全公司Slack頻道上張貼訊息,同時重新設定Uber OpenDNS,使員工連上內部網站也都被導向色情圖片。
Uber表示,在發生事件後,公司做了多項肅清措施,包括辨識出帳號被駭的員工後,即暫時凍結系統權限並要求重設密碼、關閉受影響的內部工具、輪調了多項內部服務的金鑰,之後要求所有員工重新驗證。Uber也封鎖程式碼庫,以防程式碼被竄改,並且在內部環境增加監控機制,以偵測可疑活動。
此次Uber資安事件可以看出,Uber雖有建立雙因子驗證,但在初期多次被登入拒絕後駭客仍成功登入內部網路,因此除了多道資安防護外,可以透過異常的告警,直接阻斷有疑慮的連線,讓資安人員充份排除潛在威脅,避免資安事件發生而造成企業或單位的損失。
詳文請見ithome 原文新聞稿