又被駭！18歲駭客聲稱入侵Uber內部網站「取得登入資料」 公司回應了

一名18歲駭客在Telegram 上聲稱駭入Uber公司系統，已取得改變員工名單等權限。

據外媒報導，Uber內部系統傳出被一名18歲駭客駭入，對此Uber於上週表示的確有出現網路安全相關的事件，但並沒有敏感的用戶數據流出。

駭客在Telegram上聲稱他們採用了基本的攻擊手法，透過對Uber員工發動社交工程攻擊（social engineering attack），取得員工的VPN後，再進入Uber的公司內部網路。駭客說他們後續找到了一份文件，裡面紀錄其他系統的登入資訊。

資安防禦公司Darktrace的Dave Masson認為該手法不能被歸類為駭客攻擊，因為這只是騙取資料的一種手法，他也說這種詐騙手法在居家辦公成常態後，愈來愈常見。

Uber採用的是多重要素驗證（multi-factor authentication, MFA）方式，由於密碼存有許多安全性的疑慮，MFA已成為未來的趨勢，但傳統MFA卻容易被駭客藉由社交工程攻擊或中間人攻擊手法輕易破解。資安專家表示，Uber所採用的MFA並非最安全的方式。

他也進一步建議使用者可採用FIDO 2認證，與傳統MFA的不同之處在於，FIDO 2會查驗使用者是否從真正的伺服器登入，若駭客偽冒登入頁面試圖進入，FIDO 2會阻止後續的驗證流程。

傳統MFA的風險在於，已出現過許多繞過MFA的攻擊事件，Evilginx是一款可協助駭客的工具。駭客可以透過Evilginx創建一個假登入頁面，誘使受害者在該頁面上輸入帳號密碼等登入資訊，再藉由中間人攻擊手法，攔截下資料後代替受害者傳送到真正的伺服器。

整起事件中，用戶最關心的應是自己的資料是否安全，Uber雖表示駭客並未取得重要的用戶數據，不過由於Uber沒有公布相關細節，專家表示仍不能排除用戶資料外洩的可能性。

在2016年，Uber就曾經遭遇駭客攻擊事件，約5千700萬名用戶的資料被駭客取得。

當時Uber選擇不揭露該起事件，私底下支付駭客10萬美元刪除用戶數據，隱瞞的行為引發用戶對Uber資安的疑慮，也因未遵正常通報程序，Uber遭美國多個州的檢察官起訴，最後以不會再有用戶隱私受危害為由，達成和解。

《本文作者Jocelyn，原文刊登於合作媒體INSIDE，聯合新聞網獲授權轉載。》