內容:
Uber上周疑似遭一名青少年駭入,駭客聲稱取得該公司AWS、G Suite、VMware及HackerOne帳號,而且還在Uber Slack平臺和員工互動。
紐約時報報導,這名駭客宣稱自己今年18歲,過去幾年都在精進自己的網路安全技能。他對媒體表示,一開始他是對一名Uber員工發送詐騙SMS,騙得員工某個內部系統登入帳密,藉此取得更多系統存取憑證。另一名研究人員Corben Leo則在Uber員工HackerOne帳號發出的信件中發現一個Telegram擷圖,顯示可能手法。他可能是經由員工VPN掃瞄網路芳鄰,在其中發現多個PowerShell script,其中一個script讓他取得特權管理系統(privilege management system)Thycotic的管理員帳號密碼,進而取得「所有服務」,包括GCP、AWS、存取管理平臺OneLogin及雙因素驗證的密碼。
建議:
- 預防:提高資安警覺度,「不」開啟來路不明的信件。
- 偵測:導入行為偵測、權限管理相關工具,以偵測可疑的PowerShell script執行行為以及異常的存取登入行為。
資料來源:
