共享乘車與送餐服務大型業者 Uber,於本(2022)年 9 月 15 日發布資安通報,指出該公司發生內部系統遭駭侵者以社交工程攻擊手法入侵的資安事件;目前該公司調查查無用戶個人隱私資訊遭到不當存取的證據。
Uber 於 9 月 15 日發表的資安通報,僅指出該公司正在應對一起資安事故,且已會同司法單位進行事件調查。接著,該公司又於 9 月 16 日再次發表資安通報,指出目前查無用戶機敏資訊(如用戶乘車行經路徑)外洩的證據,且該公司旗下所有服務,包括 Uber、Uber Eats、Uber Freight、Uber Driver App 等都維持正常運作。
不過據紐約時報指出,這次攻擊事件可能肇因於某位員工遭到一名年僅 18 歲的駭侵者透過社交攻擊手法取得該公司內部系統的登入資訊。
紐約時報進一步指出,該名駭侵者為了取得兩步驟登入驗證密碼,更透過大量發送垃圾通知的手法讓該名遭駭員工不斷收到推送通知,接著再於 WhatApp 上假冒 Uber IT 人員和該員工對話,進而取得兩步驟驗證碼的存取權。
資安專家也指出,該名駭侵者在取得兩步驟驗證碼後,隨即進入 Uber 內部網路,同時很快就在其內網的某個檔案中找到許多具有極高權限的登入資訊;該名駭侵者立即使用這些登入資訊存取 Uber 內部各項系統,包括產品系統、企業 EDR 控制台、Uber 內部的 Slack 管理介面等等。
駭侵者甚至還公開 Uber 各個內部系統的螢幕擷圖,甚至包括內部財務系統的報告畫面,以及 Uber 透過 HackerOne 舉辦漏洞發現懸賞的多份報告在內。資安專家擔憂駭侵者可能會將這些漏洞資訊對外販售。
建議各企業應加強員工資安宣導,防範員工成為社交攻擊破口;內部系統的重要存取密碼也需善加保護,以免遭駭侵者輕易取得,用於發動進一步攻擊。
