Uber 数据泄露事件与安全教训

关键要点

• 乌班（Uber）于9月15日发生了一起数据泄露事件，黑客通过获取承包商的账户信息获取了访问权限。
• 安全团队应避免对受害者进行指责，并采取切实可行的多因素认证措施，以应对类似的安全威胁。
• 建议采取FIDO相关标准、进行桌面演练、评估现有工具、审查安全措施及在预算规划中确保安全优先。

2022年9月15日，报道了Uber遭遇数据泄露事件。Uber当天就承认了这一网络安全事件，并在9月19日提供了，称承包商的账户遭到泄露，且 "很可能攻击者在暗网购买了该承包商的Uber公司密码"。

攻击者通过社会工程学手段使受害者批准了双因素认证（2FA）请求，从而获得初步访问权限。此后，攻击者能够提升权限，访问Uber的一系列应用程序和环境，包括AWS、GoogleWorkspace、HackerOne、OpenDNS、SentinelOne和Slack。Uber将此次入侵归因于，该最初针对南美图利索公司进行勒索，然后再扩展到微软、NVIDIA、三星和T-Mobile等全球企业。

那么安全领导者从这次事件中可以获得哪些教训呢？在讨论安全团队应该如何应对之前，我们先聊聊他们不应采取的做法。

首先，不要指责受害者：那些成为社会工程攻击受害者的员工和承包商，只是在尽力完成他们的工作。他们并不是最新威胁行为人战术、技术和程序（TTPs）的网络安全专家。借助能够帮助他们做出正确安全决策的流程和技术来支持同事和同行。

其次，不要对多因素认证（MFA）抱有虚假的安全感。攻击者可以通过来利用基于短信的认证，攻击者说服移动运营商将受害者的SIM卡更换为攻击者的。此外，坏人还可以通过对抗中间人（AiTM）钓鱼攻击后，根据受害者的会话cookie绕过MFA。微软发布了一份详细介绍了一项针对超过10,000个组织的AiTM活动。简单来说，传统的MFA方法已不足够。

那么安全领导者应如何应对Uber的泄露事件呢？以下是我的五项建议：