五种安全团队应对Uber数据泄露的方法

• 2025-11-13 18:50:02

Uber 数据泄露事件与安全教训

关键要点

2022年9月15日，纽约时报报道了Uber遭遇数据泄露事件。Uber当天就承认了这一网络安全事件，并在9月19日提供了详细更新，称承包商的账户遭到泄露，且 很可能攻击者在暗网购买了该承包商的Uber公司密码。

攻击者通过社会工程学手段使受害者批准了双因素认证2FA请求，从而获得初步访问权限。此后，攻击者能够提升权限，访问Uber的一系列应用程序和环境，包括AWS、Google Workspace、HackerOne、OpenDNS、SentinelOne和Slack。Uber将此次入侵归因于Lapsus，该威胁团体最初针对南美图利索公司进行勒索，然后再扩展到微软、NVIDIA、三星和TMobile等全球企业。

那么安全领导者从这次事件中可以获得哪些教训呢？在讨论安全团队应该如何应对之前，我们先聊聊他们不应采取的做法。

首先，不要指责受害者：那些成为社会工程攻击受害者的员工和承包商，只是在尽力完成他们的工作。他们并不是最新威胁行为人战术、技术和程序TTPs的网络安全专家。借助能够帮助他们做出正确安全决策的流程和技术来支持同事和同行。

其次，不要对多因素认证MFA抱有虚假的安全感。攻击者可以通过SIM卡交换攻击来利用基于短信的认证，攻击者说服移动运营商将受害者的SIM卡更换为攻击者的。此外，坏人还可以通过对抗中间人AiTM钓鱼攻击后，根据受害者的会话cookie绕过MFA。微软发布了一份报告详细介绍了一项针对超过10000个组织的AiTM活动。简单来说，传统的MFA方法已不足够。

那么安全领导者应如何应对Uber的泄露事件呢？以下是我的五项建议：

建议详情传统MFA不再有效，因此公司应采用FIDO U2F或无密码的FIDO2解决方案。第二个认证因素需为物理性设备，例如YubiKey或移动设备上的NFC，这样可有效防范SIM卡交换和AiTM攻击。建议以小范围开始，逐步扩展。进行针对Lapsus的桌面演练。多家供应商已记录了Lapsus的TTPs，公司对其社会工程技术的抵抗力如何？CISA提供了桌面演练包，安全团队可借此进行演练。进行“依赖合法工具的风险评估”。确保安全团队能够检测到