- 所谓的黑客获得了公司据《纽约时报》报道,在泄露了一名员工的Slack账户后,该公司控制了优步的内部系统。
- 初步报告显示,黑客使用了社交工程策略犯罪分子利用人们的轻信和缺乏经验来进入公司系统。。
- 攻击的消息传出之际,优步的前安全主管正因2016年的一起泄露事件受审,那次事件中5700万用户和司机的记录被窃取。
优步(Uber)周四表示,正在调查一起网络安全事件。此前有报道称,这家叫车公司遭到了黑客攻击。
优步在Twitter上的一份声明中表示:“我们目前正在应对一起网络安全事件。”“我们正在与执法部门联系,一旦有了更多的更新,我们将在这里发布。”
据《纽约时报》报道,一名黑客在侵入一名员工的Slack账户后,控制了优步的内部系统,该公司称其直接与攻击者进行了沟通。Slack是一款办公信息服务,被许多科技公司和初创公司用于日常沟通。根据多份报道,优步现在已经禁用了Slack。
黑客入侵的消息传出后,Uber的股价周五下跌了5%。
据《纽约时报》报道,在通过所谓的社会工程攻击破坏了优步内部的Slack之后,这名黑客继续访问了其他内部数据库。据称,在Slack的一条信息中,这名黑客写道:“我宣布我是一名黑客,优步遭遇了数据泄露。”
另一篇来自《华盛顿邮报》的报道称,被指控的攻击者告诉该报,他们入侵优步是为了好玩,可能在几个月内泄露该公司的源代码。
《华盛顿邮报》援引两名知情人士的话报道称,员工最初认为黑客的攻击是一个玩笑,并用表情符号和动图回复了黑客的Slack消息。
推特上分享的截图显示,黑客还成功接管了优步的亚马逊网络服务和谷歌云账户,并获得了内部财务数据。
CNBC无法独立核实这一信息。除了在Twitter上发布的声明外,优步拒绝置评。
虽然目前还不完全清楚优步的系统是如何被入侵的,但网络安全研究人员表示,初步报告显示,黑客避开了复杂的黑客技术,而倾向于社会工程。这就是犯罪分子利用人们的轻信和缺乏经验来进入企业账户和敏感数据的地方。
网络安全公司北极狼(Arctic Wolf)战略副总裁伊恩·麦克沙恩(Ian McShane)说:“这是一个相当低的入门攻击门槛。”“考虑到他们声称获得的访问权限,我很惊讶袭击者没有试图勒索或勒索,看起来他们这样做是为了‘消遣’。”
“这再次证明,安全防御中最薄弱的环节往往是人,”麦克沙恩补充道。
自称为“bug赏金猎人”的山姆·库里表示,他曾与所谓的优步黑客有过接触,并称目标员工参与了事件应对。库里说,这意味着黑客可能“一开始就有更高的访问权限”。漏洞奖励是公司向发现软件漏洞的黑客提供的奖励。
他补充说:“据我所知,攻击者在获得一个内部文件后,拥有了进入王国的钥匙,该文件几乎拥有所有东西的凭证。”库里是加密初创公司Yuga Labs的一名安全工程师,他说他通过即时通讯平台Telegram与黑客进行了交谈。
攻击的消息传出之际,优步的前安全主管乔·沙利文(Joe Sullivan)正因2016年的一起黑客事件受审,5700万用户和司机的记录在那次事件中被盗。2017年,该公司承认隐瞒了攻击,并于次年与美国50个州和华盛顿特区达成和解,支付1.48亿美元
2017年,备受争议的前首席执行官特拉维斯·卡兰尼克(Travis Kalanick)离职,2009年创立了优步,之后优步试图清理自己的形象。但卡兰尼克混乱任期内的丑闻和争议继续困扰着公司。
今年7月,《卫报》(The Guardian)报道了数千份文件的泄露,这些文件详细描述了优步是如何进入世界各地城市的,即使这意味着违反当地法律。在一个例子中,前首席执行官特拉维斯·卡兰尼克(Travis Kalanick)在被其他高管质问Uber司机在法国参加抗议活动的安全问题后表示,“暴力保证成功”。
在回应《卫报》当时的报道时,优步表示,这些事件与“过去的行为”有关,“不符合我们目前的价值观”。
