繼5700萬條資料洩露後，網約車巨頭Uber承認再遭黑客攻擊

週四下午，網約車巨頭Uber遭黑客攻擊，內部系統被攻破，漏洞報告被盜。Uber已證實此次攻擊，並在推特上發文稱他們正在與執法部門聯絡。2016年，Uber也曾發生黑客攻擊事件，導致 5700 萬用戶和司機的個人資料受到影響。今年7月，Uber和美國檢方達成和解協議，宣佈為這次事件承擔責任，同時也避免了檢方的刑事罪名指控。

通過社工入侵內部系統

據悉，在此次攻擊事件中，黑客竊取了漏洞報告，並分享了Uber的內部系統、郵件儀表板和Slack伺服器截圖。根據黑客分享的截圖顯示，他 完 全 可以進入Uber的許多關鍵IT系統，包括該公司的安全軟體和Windows域。黑客還訪問了Uber的AWS控制檯、VMware ESXi虛擬機器、Google Workspace郵件儀表板和Slack伺服器。

《紐約時報》最早對這一事件進行了報道，並與攻擊者進行了交談。攻擊者表示，他是通過對一名員工進行社工後竊取他們的密碼，然後入侵了Uber。然後，威脅者利用竊取的憑證進入了公司的內部系統。

HackerOne漏洞報告失竊

在這次攻擊中，攻擊者有可能竊取了Uber的資料和原始碼，同時也獲得了可能是更有價值的資產——HackerOne漏洞賞金專案的所有漏洞報告。根據Yuga實驗室安全工程師Sam Curry表示，攻擊者訪問了HackerOne漏洞賞金專案，並對所有漏洞賞金票據進行了評論。

黑客在HackerOne提交頁面留下的評論

（來源：Sam Curry）

HackerOne是Uber執行一個漏洞賞金專案，可以讓安全研究人員私下向Uber披露其系統和應用程式中的漏洞，以換取金錢上的漏洞賞金獎勵。 這些漏洞報告在釋出修復方案前是保密的，以防止攻擊者在攻擊中利用這些漏洞。

還有訊息稱，黑客下載了Uber漏洞賞金專案的所有漏洞報告，包括尚未修復的漏洞報告，這給Uber帶來了嚴重的安全風險。目前，HackerOne已經禁用了漏洞賞金專案，使用者已無法訪問所披露的漏洞。但如果黑客已經下載了這些漏洞報告，很可能將其出售給其他攻擊者以快速實現攻擊變現。

青藤建議：持續強化人員網路安全意識

人是安全防護體系中最薄弱的一環。網路安全攻防的較量歸根結底是人的較量，所有的技術體系也都離不開人的使用。在最近針對知名公司的攻擊中，包括Twitter、MailChimp、Robinhood和Okta，社工已經成為一種非常流行的戰術。為此，務必要加強安全意識宣導，持續強化人員網路安全意識，讓人成為網路安全縱深防禦體系中很重要的一道防線。