优步周四下午遭到网络攻击,一名黑客获得了漏洞报告的访问权限,并分享了公司内部系统、电子邮件仪表板和 Slack 服务器的屏幕截图。
黑客分享并被ZZQIDC看到的屏幕截图显示,似乎可以完全访问许多关键的 Uber IT 系统,包括该公司的安全软件和 Windows 域。
黑客访问的其他系统包括公司的 Amazon Web Services 控制台、VMware ESXi 虚拟机、Google Workspace 电子邮件管理仪表板和 Slack 服务器,黑客向这些系统发布了消息。
优步此后证实了这次袭击,并在推特上表示他们正在与执法部门联系,并将在可用时发布更多信息。
“我们目前正在应对网络安全事件。我们与执法部门保持联系,并将在可用时在此处发布更多更新,” Uber Communications 帐户在推特上写道。
最先报道 此次违规事件的《纽约时报》 表示,他们与威胁行为者进行了交谈,威胁行为者表示,他们在对一名员工进行社会工程攻击并窃取了他们的密码后入侵了优步。
然后,威胁行为者使用被盗的凭据获得了对公司内部系统的访问权限。
在最近针对知名公司的攻击中,社会工程已成为一种非常流行的策略,包括 Twitter、 MailChimp、 Robinhood和 Okta。
HackerOne 漏洞报告曝光
虽然攻击者有可能在这次攻击中从 Uber 窃取了数据和源代码,但他们也可以访问可能更有价值的资产。
根据 Yuga Labs 安全工程师Sam Curry的说法,黑客还可以访问该公司的 HackerOne 漏洞赏金计划,他们在其中评论了该公司的所有漏洞赏金票。
来源:Curry
Curry 告诉ZZQIDC,他是在攻击者在两年前提交给 Uber 的漏洞报告上留下上述评论后才得知这一漏洞的。
优步运行 HackerOne 漏洞赏金计划 ,允许安全研究人员私下披露其系统和应用程序中的漏洞,以换取金钱漏洞赏金奖励。这些漏洞报告旨在保密,直到可以发布修复程序以防止攻击者在攻击中利用它们。
Curry 进一步分享说,Uber 的一名员工表示,攻击者可以访问该公司在 HackerOne 上提交的所有私人漏洞。
消息人士还告诉ZZQIDC,攻击者在失去对 Uber 漏洞赏金计划的访问权限之前下载了所有漏洞报告。这可能包括尚未修复的漏洞报告,给 Uber 带来严重的安全风险。
HackerOne 此后禁用了 Uber 漏洞赏金计划,切断了对已披露漏洞的访问。
但是,如果威胁参与者已经下载了漏洞报告并可能将它们出售给其他威胁参与者以快速兑现攻击,这并不奇怪。
ZZQIDC已联系 Uber 询问有关此次攻击的更多问题,但目前尚未收到回复。
