Uber披露重大网络安全漏洞细节,指责相关组织
Uber周一披露了与上周发生的安全事件有关的更多细节,将袭击锁定在它认为附属于臭名昭著的LAPSUS $黑客集团的威胁行为者身上。
这家位于旧金山的公司在一份最新报告中说:"该集团通常使用类似的技术来攻击科技公司,仅在2022年就突破了微软、思科、三星、NVIDIA和Okta等公司。“
在2022年3月,伦敦金融城警察逮捕了7名年龄在16岁至21岁之间的人,因为他们被指控与该团体有联系。其中两名未成年被告面临诈骗指控。
Uber违约背后的黑客,一名18岁的少年,他的名字叫"茶壶",同时声称对周末闯入视频游戏制造商Rockstar游戏负责。
优步表示,除了与美国联邦调查局( FBI )和司法部就此事进行协调外,该公司正在与"几家领先的数字取证公司"合作,因为该公司对该事件的调查仍在继续。
至于攻击是如何展开的,该公司说,一个" EXT承包商"的个人设备与恶意软件和他们的公司帐户凭证被盗,并在黑暗的网络上出售,这证实了Group – IB的早期报告。
前一周,总部位于新加坡的Uber公司注意到,位于巴西和印度尼西亚的Uber公司至少有两名员工感染了浣熊和Vidar信息窃取者。
该公司说,攻击者随后多次试图登录承包商的Uber账户。每次,承包者都会收到一个双因素登录批准请求,该请求最初会阻止访问。然而,最后,承包商接受了一个,攻击者成功地登录了。
在获得一个立足点后,该公司据说已经访问了其他雇员账户,从而使恶意方获得了"几个内部系统",如谷歌工作空间和Slack等。
该公司还表示,它采取了一些措施,作为其事件应对措施的一部分,包括禁用受影响的工具、旋转服务的钥匙、锁定代码库,以及阻止受影响的雇员账户进入Uber系统,或者为这些账户发放密码重置。
Uber没有透露有多少员工账户可能受到损害,但它重申没有未经授权的代码更改,也没有证据表明黑客可以进入支持其面向客户的应用程序的生产系统。
尽管如此,据称,被指控的青少年黑客已经从其财务团队使用的内部工具中下载了一些未具体说明的内部信息和信息,以管理某些发票。
Uber也证实攻击者访问了HackerOne的bug报告,但注意到"攻击者能够访问的任何bug报告都被修复了"。
KnowBe4的数据驱动防御福音传道者罗杰·格莱姆斯( Roger Grimes )在一份声明中说:"让基于推送的(多因素身份验证)更具弹性的解决方案只有一个,那就是培训你的员工(他们使用基于推送的MFA )了解常见的攻击类型、如何检测这些攻击,以及如何减轻和报告这些攻击。
克里斯·克莱门茨表示,各组织必须认识到,MFA不是一个"银弹",不是所有因素都是平等的。
虽然已经从基于SMS的身份验证转变为基于应用程序的方法来减轻与SIM交换攻击相关的风险,但Uber和Cisco的黑客攻击突出表明,安全控制一旦被认为是万无一失的,就会被其他手段所绕过。
威胁行为体利用攻击路径(如AiTM代理工具包和MFA疲劳(又如即时轰炸) )欺骗毫无戒心的用户,使其无意中交出一次性密码( OTP )或授权访问请求,这一事实表明有必要采用抗钓鱼方法。
克莱门茨说:"为了防止类似的攻击,组织应该转向更安全的MFA批准版本,比如号码匹配,以最大限度地减少用户盲目批准身份验证提示的风险。"
克莱门茨补充说:"现实是,如果攻击者只需要妥协单个用户就会造成重大损害,那么迟早你会有重大损害。"