从 Uber 数据泄露事件我们可以学到什么?

Uber 数据泄露始于一名黑客从暗网市场购买属于一名 Uber 员工的被盗凭证。最初尝试使用这些凭据连接到 Uber 的网络失败,因为该帐户受 MFA 保护。为了克服这一安全障碍,黑客通过 What’s App 联系了 Uber 员工,并假装是 Uber 的安全人员,要求该员工批准将 MFA 通知发送到他们的手机。然后,黑客向该员工的手机发送了大量 MFA 通知,为了免除骚扰,该 Uber 员工批准了 MFA 请求授予黑客网络访问权限,最终导致了数据泄露。据悉这已经不是Uber第一次被黑客攻击。早在2016年,两名黑客入侵了 Uber 的系统,获取了 5700 万 Uber 应用用户的姓名、电子邮件地址和电话号码。
 

黑客访问了哪些数据?

在成功连接到 Uber 的内部网后,黑客获得了对该公司 VPN 的访问权限。授予攻击者如此高级别访问权限的关键漏洞是 PowerShell 脚本中的硬编码凭据。这些凭据使管理员可以访问特权访问管理 (PAM) 系统:Thycotic。该工具拥有大量特权,它存储用于员工访问内部服务和第三方应用程序的最终用户凭据,以及在软件开发环境中使用的 DevOps 机密信息。PAM 系统控制对多个系统的访问,拥有管理员访问权限意味着可以给自己或提取所有连接系统的秘密。这让攻击者可以完全访问 Uber 的所有内部系统。
 

也就是说攻击者拥有了对 Uber 所有敏感服务(包括 DA、DUO、Onelogin、Amazon Web Services (AWS) 和 GSuite)的完全管理员访问,这也显着增加了数据泄露的严重性。据称,黑客还访问了 Uber 的漏洞赏金报告,这些报告通常包含尚未修复的安全漏洞的详细信息。这名黑客被认为与网络犯罪组织 Lapsus$ 有关联,他在与 Uber 网络安全研究员的谈话中透露了这次攻击的细节(见下图)。
在这里插入图片描述 

数据泄露的严重后果

如果黑客是出于经济利益的动机,他很可能会在暗网市场上出售 Uber 的漏洞赏金报告。鉴于漏洞赏金计划的发现可能造成毁灭性的数据泄露影响,它会以非常高的价格出售。幸运的是这名黑客并无意造成企业巨大损失和影响,而是在享受成功的网络攻击带来的成就感和随之而来的黑客社区的尊重。要知道当 Uber 在 2016 年遭到黑客入侵时,向网络犯罪分子支付了 100,000 美元的赎金,以换取删除他们被盗数据的副本。
 

此次数据泄露事件的关键是 Uber 的特权访问管理(PAM)平台因管理员凭据暴露而受到损害。特权访问管理(PAM)是用于保护、控制和监视员工对组织的关键信息和资源的访问的工具和技术的组合。而黑客攻击者极有可能已经获得了对 Uber 几乎所有内部系统的访问权限。尽管黑客没有展开进一步攻击,我们仍有必要去了解这件事情的严重性。
 

Thycotic

Thycotic PAM 系统拥有大量特权,它存储用于员工访问内部服务和第三方应用程序的最终用户凭据,以及在软件开发环境中使用的 DevOps 机密信息。它可以控制对不同服务的访问,还有一个存储凭据和密码的机密管理器。在此次数据泄露事件中,这是 Uber 需要面临的最可怕的情况。
 

AWS

AWS 实例控制着 Uber 应用程序的云基础设施。根据配置、权限和体系结构,攻击者可能会关闭服务、滥用计算资源、访问敏感用户数据、删除或勒索数据、更改用户访问权限等等。
 

VMWare vSphere

VMware vSphere 是一个云计算虚拟化平台。这是一个非常关键且重要的平台,因为它与云计算和本地服务器接口,可以让攻击访问受控的本地服务器以及许多帮助攻击者深入系统的管理功能。
 

SentinelOne

SentinelOne 是一个 XDR(扩展检测和响应)平台。简而言之,这个平台连接到企业的关键任务系统,让企业知道是否存在安全问题。任何可以获得该系统特权访问权限的攻击者都可以混淆他们的活动并延长他们的攻击时间。XDR 可以为事件响应 (IR) 团队植入“后门”,例如允许 IR 团队“进入”员工机器并可能扩大攻击者的访问范围。
 

Uber 数据泄露的4个经验教训

我们可以从 Uber 数据泄露事件中可以吸取一些重要的网络安全教训,通过将这些经验应用到网络安全工作中,可以帮助企业避免遭遇类似问题。
 

1. 加强网络安全意识培训

Uber 员工在攻击的初始阶段为了摆脱大量 MFA 请求而批准,这一事实证明了企业人员对一种称为“MFA 疲劳”的很常见的 MFA 利用策略认识不足。如果 Uber 员工意识到这种策略的严重性,他们将会及时报告威胁,从而避免数据泄露事件发生。黑客还利用社交工程(Social Engineer)技术糊弄 Uber 员工,让他们以为自己是Uber安全团队的成员,这是另一种常见且需要高度警惕的网络攻击策略。 实施网络意识培训,让员工深刻认识到 MFA 疲劳和社交工程诈骗这两种常见网络攻击方法很关键。
 

2. 了解常见的 MFA 利用方法

并非所有的多重身份验证协议都需要设置为一致的。企业的网络安全团队应该将当前的 MFA 流程与常见的利用策略进行比较,并在需要时升级身份验证协议的复杂性以减轻利用风险。
 

3. 避免硬编码管理员登陆凭证

在此次事件中最重大的安全问题可能是在 Powershell 脚本中硬编码管理员凭据。阅读 Powershell 脚本并发现其中包含的管理员凭据,未经授权的用户便可以访问Uber 敏感系统。如果遵循安全编码实践,就可以避免此安全漏洞。请确保管理员凭据始终安全地存储在密码库中,并且永远不要在任何地方进行硬编码。
 

4. 使用数据泄露检测服务

如果 Uber 黑客出于利益目的,客户数据就会被窃取并且在暗网上进行兜售。对于企业而言,需要有一个安全网来检测未检测到的数据泄露导致的暗网数据泄漏。当在暗网上检测到敏感数据泄漏时,数据泄漏检测服务会通知受影响的企业,这样网络安全团队可以尽早保护受损帐户。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/34112.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

点击率预估

点击率预估是广告技术的核心算法之一,它是很多广告算法工程师喜爱的战场。一直想介绍一下点击率预估,但是涉及公式和模型理论太多,怕说不清楚,读者也不明白。所以,这段时间花了一些时间整理点击率预估的知识&#xff0…

老鸟教你如何精确评估开发时间

一个程序员能否精确评估开发时间,是一件非常重要的事情。如果你掌握了这项技能,你在别人的眼里就会是这样: 靠谱经验十足对需求很了解延期风险小合格的软件工程师正规军,不是野路子 评估开发时间的重要性 首先,在一…

从FM推演各深度CTR预估模型(附代码)

作者: 龙心尘 && 寒小阳 时间:2018年7月 出处:https://blog.csdn.net/longxinchen_ml/article/details/81031736 https://blog.csdn.net/han_xiaoyang/article/details/81031961 声明:版权所有,转载请联系作者…

[项目管理] 如何评估工作量

1.1. 工作量估算的定义 工作量估算 即对开发软件产品所需的人力和时间的估算——人力成本是一个项目的主要成本。 我们可以根据预估的工作量决定具体由几个人、哪几个人参与该项目。 工作量通常以 人/天、人/月、人/年 的形式来衡量。 1.2. 为什么要进行工作量估算 做好工…

机器学习实战 | 综合项目-电商销量预估

作者:韩信子ShowMeAI 教程地址:https://www.showmeai.tech/tutorials/41 本文地址:https://www.showmeai.tech/article-detail/206 声明:版权所有,转载请联系平台与作者并注明出处 收藏ShowMeAI查看更多精彩内容 1.案例…

Python:实现进度条和时间预估

一、前言 在python当中可以用进度条来显示工作的进度,比如for循环的进度或者一些模型训练的进度。 在这里可以使用progressbar包以及tqdm包来实现。 使用pip install progressbar 安装progressbar包。 使用pip install tqdm安装tqdm包。 二、代码 1. progress…

如何科学预估开发时间

0. 我是前言 一个开发人员能否精确评估开发时间,是一件非常重要的事情。如果你掌握了这项技能,你在别人的眼里就会是这样: 1. 评估开发时间的重要性 首先,在一个项目中,所有的环节都是承上启下的,不管你是…

编译原理之代码生成

前面提到了经过了词法分析->语法分析->语义分析->中间代码优化,最后的阶段便是在目标机器上运行的目标代码的生成了。目标代码生成阶段的任务是:将此前的中间代码转换成特定机器上的机器语言或汇编语言,这种转换程序便被称为代码生成…

前端案例-跟随鼠标移动的天使

📋 个人简介 💖 作者简介:大家好,我是阿牛,全栈领域新星创作者。😜📝 个人主页:馆主阿牛🔥🎉 支持我:点赞👍收藏⭐️留言&#x1f4d…

前端代码在线编辑器:codepen、codesandbox

文章目录 单文件在线编辑器项目级在线编辑器 推荐两个前端代码在线编辑器 单文件在线编辑器:https://codepen.io/pen/ 项目级在线编辑器:https://codesandbox.io/ 单文件在线编辑器 codepen 相信使用 element-ui组件库的小伙伴应该知道 codepen在线编…

vue前端生成二维码并提供二维码下载

在一个管理后台的开发过程中使用到了需要前端自行生成分享二维码,并提供二维码下载功能,网上的解决方案很多,最终自己做完的思路和代码整理记录方便后续学习使用! vue版本为2.x 具体实现步骤: 下载安装依赖&#xff0…

总结本人学习b站黑马前端课程,各部分案例汇总

目录 1.Ajax: 对应课程: b站黑马JavaScript的Ajax案例代码——新闻列表案例 b站黑马JavaScript的Ajax案例代码——评论列表案例 b站黑马JavaScript的Ajax案例代码——聊天机器人案例 b站黑马JavaScript的Ajax案例代码——图书管理案例 2.ES6面向对…

前端——动态生成表格

案例分析 因为表格数据是不断更新的,我们需要js 动态生成。 这里我们模拟数据,自己定义好数据。 数据我们采取对象形式存储。所有的数据都是放到tbody里面的行里面。因为行很多,我们需要循环创建多个行(对应多少人)每…

Methodot低代码电影票房管理系统实战案例(二):前端低代码搭建系统后台

本次系统后台实战将使用Methodot应用工厂中的前端低代码组件完成搭建,无需注册域名、购买云服务器、虚拟机等,可在Methodot云端一体化完成开发、交付、访问、运维,3s即可部署至线上 免运维,在Methodot上可直接开发部署到线上 本次…

c语言源码代码生成器,SoEasyPlatform 代码生成器

介绍 一款轻量级开源的代码生成器,相对较动软代码生成器而言要轻量的多,支持多种数据库,所用到dll组件也都在github有源码,代码非常的简单有点基础的看源码可以把生成的项目改成自已的风格。 特色 该代码生成器最大的特点就三个简单 ,无需安装,生成的代码 简单并且有教学…

基于GPT-4的免费代码生成工具

大家好,我是herosunly。985院校硕士毕业,现担任算法研究员一职,热衷于机器学习算法研究与应用。曾获得阿里云天池比赛第一名,CCF比赛第二名,科大讯飞比赛第三名。拥有多项发明专利。对机器学习和深度学习拥有自己独到的见解。曾经辅导过若干个非计算机专业的学生进入到算法…

前端直接生成GIF动态图实践

前言 去年在博客中发了两篇关于GIF动态生成的博客,GIF图像动态生成-JAVA后台生成和基于FFmpeg的Java视频Mp4转GIF初探,在这两篇博客中都是采用JAVA语言在后台进行转换。使用JAVA的同学经过自己的改造和开发也可以应用在项目上。前段时间有朋友私下问&…

利用JS代码完成动态生成表格案例及解析

思路&#xff1a; 代码&#xff1a; <!DOCTYPE html> <html lang"en"> <head><meta charset"UTF-8"><meta http-equiv"X-UA-Compatible" content"IEedge"><meta name"viewport" content&…

屏蔽必应(bing)搜索引擎点开一个页面下面会出现“浏览 6 个相关页面”的网页推荐方法

如以上图片显示&#xff0c;“浏览 6 个相关页面” 的推荐内容是网页里面的js实现的&#xff0c;无法取消&#xff0c;微软官方也回复说不能关闭的&#xff0c;只能通过浏览器的屏蔽广告插件可以实现&#xff1a; 我用的是这个uBlock Origin插件根据这位大佬的帖子安装的&…

基于chatgpt-on-wechat的微信个人对话机器人搭建

1.开源项目选定 现在gpt很火,git中大佬们都创建了很多高星项目,我这里选用了chatgpt-on-wechat(项目地址:https://github.com/zhayujie/chatgpt-on-wechat),这个项目在扩展时也很舒服,大家可以去拉下来看看,学习源码才能方便后续的扩展 2.服务器选定 国内服务:前置条件需要走…