优步被黑,内部系统受陷,漏洞报告被盗
优步被黑,内部系统受陷,漏洞报告被盗
Lawrence Abrams 代码卫士 2022-09-16 18:01
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
本周四下午,优步遭受网络攻击。黑客获得对漏洞报告的访问权限并共享了优步内部系统、邮件仪表盘和Slack服务器的截屏。
所分享的截屏似乎说明黑客获得对优步很多关键IT系统的完全访问权限,包括该公司的安全软件和Windows域。黑客访问的其它系统还包括优步的Amazon Web Services 面板、VMware ESXi虚拟机、Google Workspace邮件管理员仪表盘和Slack服务器,黑客向Slack服务器发送了信息。
之后,优步证实了这起黑客事件,表示目前正在和执法部门联系并将即使公开更多信息。
《纽约时报》率先发布该消息,并表示已经和黑客交流过,后者表示是通过社工员工并窃取员工密码而攻陷优步的,之后利用被盗凭据获得对优步内部系统的访问权限。
社工已成为近期攻击著名公司如推特、MailChimp、Robinhood和Okta等的非常热门的技术。
HackerOne 漏洞报告遭暴露
虽然黑客在此次攻击活动中窃取了数据和源代码,但同时也访问了更具价值的资产。
Yuga Labs 公司的安全工程师 Sam Curry 指出,黑客访问了优步的HakcerOne 漏洞奖励计划,并在所有的漏洞工单上进行了评论。Curry 指出,自己是从黑客评论自己两年前提交给优步的一份漏洞报告注意到这次攻击事件的。
优步在HackerOne平台上发布漏洞奖励计划,鼓励研究人员将系统中的漏洞提交给优步并获得现金奖励。这些漏洞报告本应在修复方案发布之前保密,以阻止攻击者利用。
Curry 还提到,优步的一名员工表示黑客访问了优步从HackerOne平台上提交的所有私密漏洞报告。
一名消息人士透露,攻击者在失去优步漏洞奖励计划的权限前已经下载了所有的漏洞报告,其中可能还包括尚未被修复的严重漏洞报告,因此可能会给优步带来严重的安全风险。
HackerOne 平台之后禁用了优步的漏洞奖励计划,切断了对已披露漏洞的访问权限。然而,如果黑客已下载漏洞报告并将其出售给其它威胁人员加快变现,则也不会让人惊讶。
优步尚未就此事置评。
代码卫士试用地址:
https://codesafe.qianxin.com
开源卫士试用地址:
https://oss.qianxin.com
推荐阅读
“依赖混淆”供应链攻击现身 微软苹果特斯拉优步等超35家企业内网失陷
仅凭暴力破解工具,英国男子就成功盗走优步等17家网站的用户信息
原文链接
https://www.bleepingcomputer.com/news/security/uber-hacked-internal-systems-breached-and-vulnerability-reports-stolen/
题图:
Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “
在看
” 或 “
赞
” 吧~