网约车巨头优步表示,其服务在上周发生“网络安全事件”后开始运作,黑客侵入了该公司的网络并访问了存储大量客户数据的系统。
直到周一,优步才对这件事只字未提。安全研究人员在与黑客的对话中发布到 Twitter 上的 Uber 网络内部屏幕截图显示可以访问内部仪表板、公司的 Slack 及其 HackerOne 帐户。优步在周一的更新中表示,黑客窃取了一些内部信息和 Slack 消息,但没有采取任何敏感信息——如信用卡数据和旅行历史记录——这使得其他个人用户信息是否被泄露仍然悬而未决。
这名自称 18 岁的黑客告诉安全研究人员,他们通过窃取员工的密码并诱骗员工批准攻击者针对 Uber 的多因素身份验证(MFA) 的推送通知,从而侵入了 Uber 的系统。
一旦他们在优步的网络上站稳了脚跟,黑客声称找到了一个包含高权限凭证的网络共享,使他们几乎可以不受限制地访问公司的其他系统。
优步周一表示,该黑客隶属于今年早些时候入侵Okta 、微软、英伟达、 Globant和Rockstar Games的组织 Lapsus$,该黑客入侵了优步承包商的用户帐户。优步表示,在违规事件发生后,它短暂关闭了一些内部工具,客户支持业务“受到的影响最小,现在已恢复正常”。
优步的最终事件尸检可能在一段时间内不为人所知,但安全专家已经开始剖析黑客是如何进入优步系统的——显然是轻松击败了该公司的 MFA 安全性。
并非所有的 MFA 选项——输入用户名和密码后必须完成的额外步骤,以验证它真的是你登录而不是攻击者——都是平等的;有些比其他强。短信发送的代码可能被拦截或窃取,但在很大程度上已经被移动身份验证器应用程序所取代,这些应用程序会不断生成旋转随机代码或发送几乎不可能被拦截的推送通知。但随着攻击变得越来越聪明,一些最强大的 MFA 保护正被利用人类行为中的漏洞所击败。
如果世界上最大的公司之一可以通过这种方式被攻破,你如何防范另一次 Uber 黑客攻击?
黑客是如何打败 MFA 的?
据研究人员称,员工的凭据可能已被安装在员工计算机上的 RedLine 等密码窃取恶意软件窃取。众所周知,Lapsus$ 还使用 Redline 窃取员工密码。优步表示,黑客可能从暗网上的市场购买了被盗密码。
一旦被盗,黑客必须破解 Uber 的多因素身份验证,这增加了一个额外的障碍,以防止攻击者使用被盗的凭据侵入公司的网络。
在发布到 Twitter 上的对话中,黑客证实他们通过使用被盗凭据向员工发送重复推送通知超过一个小时,通过社交工程进入优步网络,然后“在 WhatsApp 上联系他并声称来自优步 IT,告诉他,如果他希望它停止,他必须接受它,“黑客说。 “好吧,他接受了,我添加了我的设备,”黑客写道。
这就是一些人所说的 MFA 疲劳,黑客利用员工必须在整个工作日重复登录并重新验证他们的访问权限,通常在工作时间之外向员工推送通知,希望最终员工出于恼怒接受登录请求。
社会工程学专家兼 SocialProof Security 首席执行官雷切尔·托巴克 (Rachel Tobac) 表示,MFA 疲劳攻击是通过 MFA 入侵组织的“最简单方法”之一。
“是的,有时 MFA 疲劳看起来像是在受害者睡觉时重复请求直到他们接受,但通常它就像在工作日开始时连续发送 10 次请求一样简单,或者只是在会议期间发送令人讨厌的垃圾邮件请求直到受害者接受,”Tobac 告诉 TechCrunch。
在诱骗员工接受推送通知后,黑客可以像员工一样发送 MFA 推送通知,授予他们对 Uber 网络的持久访问权限。
解决方法是什么?
安全专家普遍认为,任何级别的 MFA 总比没有好,但 MFA 本身并不是灵丹妙药。优步并不是唯一一家使用多因素身份验证但其网络仍然受到威胁的公司。
2020 年,黑客通过诱骗员工将其凭据输入他们设置的网络钓鱼页面来侵入 Twitter 的网络,黑客使用该页面生成发送到员工设备的推送通知。根据纽约州政府的一项调查,该员工接受了提示,允许袭击者进入。最近,SMS 消息传递巨头 Twilio 受到了类似的网络钓鱼攻击,Mailchimp 也被社会工程攻击入侵,该攻击诱骗员工交出他们的凭据。
所有这些攻击都利用了多因素身份验证的弱点,通常是直接针对相关个人,而不是在这些经过高度审计的系统中寻找安全漏洞。
Cloudflare 是最近一连串网络攻击中唯一一家阻止网络入侵的公司,因为它使用硬件安全密钥,无法通过网络钓鱼。在一篇博客文章中,Cloudflare 承认,虽然一些员工“确实中了网络钓鱼邮件”,但它使用硬件安全密钥(要求员工在输入凭据后将 USB 设备物理插入他们的计算机)阻止了攻击者破解进入它的网络。 Cloudflare 表示,这次攻击以“我们相信大多数组织都可能遭到破坏”的方式针对员工和系统。
安全密钥被视为 MFA 安全性的黄金标准,但它们并非没有自身的挑战,尤其是密钥及其维护成本。 “我们花时间争论所有人都需要硬件安全密钥的必要性,但在该领域,一些组织仍在争取强制性的 SMS 双因素身份验证或 MFA 提示以进行内部访问,”Tobac 说。
虽然通过随机生成的代码或推送通知进行的 MFA 绝不是完美的,正如 Uber 的违规行为所证明的那样,“我们不能让完美成为善的敌人,”Tobac 说。 “随着时间的推移,小的改进会产生很大的不同。”
“我现在从组织那里得到的最大问题是如何配置现有的 MFA 工具来限制我们在 Uber、Twilio 和 Twitter 黑客中看到的攻击方法,”Tobac 说。 “这有助于组织通过可以快速做出的小改进进行思考,这样他们就不会在内部争论数月(甚至数年)的更新。”
进行回合的一项重要改进是 MFA 号码匹配,通过在登录者的屏幕上显示代码并且必须将该代码输入到该人已验证设备上的应用程序中,这使得社会工程攻击变得更加困难。这个想法是,攻击者需要目标的凭据和经过验证的设备,类似于安全密钥。
Microsoft 、 Okta和Duo提供 MFA 号码匹配。但正如安全研究员 Kevin Beaumont 所指出的,微软的解决方案仍处于预览阶段,Okta 的号码匹配产品捆绑在一个昂贵的许可层中。 Uber 依靠 Duo 进行 MFA,但据报道,在其违规时并未使用号码匹配。
“在其他新闻中,你会看到一群青少年实时重塑网络安全行业,”博蒙特在推特上写道。
Tobac 表示,网络防御者还可以为用户可以获得多少推送通知设置警报和限制——并在 Twitter 线程中指出——并首先向测试用户组推出安全密钥,目的是扩大每个用户组四分之一。
就其本身而言,优步周一表示,它正在加强其 MFA 政策以应对其违规行为。
至于黑客如何仅使用承包商被盗的密码访问其其他关键系统的高权限凭证,优步可能仍有很多问题需要回答。
你如何修复像 Uber 这样的黑客攻击? Zack Whittaker最初发表在TechCrunch上
原文: https://techcrunch.com/2022/09/19/how-to-fix-another-uber-breach/