传遭骇客渗透 Uber指正在调查「网路安全事件」
-
Uber指正在调查「网路安全事件」。(图:AFP)(photo:CnYes)优步 (Uber)(UBER-US) 周四 (15 日) 表示,在报导指称该公司遭到骇客攻击后,它正调查这起网路安全事件。
Uber 在推特上发布声明表示,「我们目前正在应对网络安全事件。」「我们正与执法部门联系,并会在适当时机在此发布更多新进度。」
《纽约时报》报导,一名骇客在骇进一名员工的 Slack 帐户后控制了 Uber 的内部系统,并指称已直接採访到攻击者。Slack 是一种职场短讯服务,被许多科技公司和新创公司用于日常通讯。
根据许多报导,Uber 现在已经禁用内部 Slack。Uber 股价在周五 (16 日) 盘前交易中下跌近 4%。
《纽约时报》报导,在号称「社会工程攻击」破坏 Uber 内部 Slack 后,骇客随后继续骇入其他内部数据库。
《华盛顿邮报》的另一份报导指称,被指控的攻击者告诉该报,他们只是为了好玩而入侵 Uber,并可能在几个月内公开该公司的程式码。
报导引述两名知情人士的话说,员工最初认为这次攻击是个玩笑,并用表情符号和 GIF 来回应所谓的骇客的 Slack 讯息。
根据推特上分享的截图显示,骇客还接管了 Uber 在亚马逊网路服务 (AES) 和谷歌 Workspace 的帐户,并获得内部财务数据的访问权限。
除了在推特上发布的声明外,Uber 拒绝发表评论。
虽然目前还不完全清楚 Uber 的系统受到多大损害,但网路安全研究人员表示,初步报告证明,骇客并未使用复杂的骇客技术,转而使用社会工程。这就是犯罪分子利用人们的轻信和缺乏经验来获取公司帐户和敏感数据的方式。
网路安全公司 Arctic Wolf 战略副总裁麦克沙恩 (Ian McShane) 说:「这是个相当低的攻击门槛。」「根据他们声称获得访问权限,我很惊讶攻击者没有试图勒索,看起来他们这样做只是『好玩』(lulz)。」
他补充指出,「这也再次证明,安全防御中最薄弱的环节通常是人。」
