一名18歲駭客在Telegram 上聲稱駭入Uber公司系統,已取得改變員工名單等權限。
據外媒報導,Uber內部系統傳出被一名18歲駭客駭入,對此Uber於上週表示的確有出現網路安全相關的事件,但並沒有敏感的用戶數據流出。
駭客在Telegram上聲稱他們採用了基本的攻擊手法,透過對Uber員工發動社交工程攻擊(social engineering attack),取得員工的VPN後,再進入Uber的公司內部網路。駭客說他們後續找到了一份文件,裡面紀錄其他系統的登入資訊。
資安防禦公司Darktrace的Dave Masson認為該手法不能被歸類為駭客攻擊,因為這只是騙取資料的一種手法,他也說這種詐騙手法在居家辦公成常態後,愈來愈常見。
Uber採用的是多重要素驗證(multi-factor authentication, MFA)方式,由於密碼存有許多安全性的疑慮,MFA已成為未來的趨勢,但傳統MFA卻容易被駭客藉由社交工程攻擊或中間人攻擊手法輕易破解。資安專家表示,Uber所採用的MFA並非最安全的方式。
他也進一步建議使用者可採用FIDO 2認證,與傳統MFA的不同之處在於,FIDO 2會查驗使用者是否從真正的伺服器登入,若駭客偽冒登入頁面試圖進入,FIDO 2會阻止後續的驗證流程。
傳統MFA的風險在於,已出現過許多繞過MFA的攻擊事件,Evilginx是一款可協助駭客的工具。駭客可以透過Evilginx創建一個假登入頁面,誘使受害者在該頁面上輸入帳號密碼等登入資訊,再藉由中間人攻擊手法,攔截下資料後代替受害者傳送到真正的伺服器。
整起事件中,用戶最關心的應是自己的資料是否安全,Uber雖表示駭客並未取得重要的用戶數據,不過由於Uber沒有公布相關細節,專家表示仍不能排除用戶資料外洩的可能性。
在2016年,Uber就曾經遭遇駭客攻擊事件,約5千700萬名用戶的資料被駭客取得。
當時Uber選擇不揭露該起事件,私底下支付駭客10萬美元刪除用戶數據,隱瞞的行為引發用戶對Uber資安的疑慮,也因未遵正常通報程序,Uber遭美國多個州的檢察官起訴,最後以不會再有用戶隱私受危害為由,達成和解。
《本文作者Jocelyn,原文刊登於合作媒體INSIDE,聯合新聞網獲授權轉載。》
