优步遭黑客攻击显示安全问题是科技行业的致命弱点——《华尔街日报》

优步科技公司遭遇安全漏洞事件，导致这家网约车企业的内部通讯系统暂时瘫痪。该事件以最鲜明的方式表明，即便拥有顶尖人才和工具的科技公司，也可能反复遭受攻击。

优步周五上午表示正在持续调查此次事件。事件始于周四，促使公司采取预防措施，暂停员工访问包括Slack、Zoom和Gmail在内的内部系统。公司称截至周五上午这些系统访问权限正在恢复，并已通知执法部门，目前没有证据表明事件涉及"敏感用户数据"（如乘客行程记录）的泄露。

据与黑客交流的安全研究人员透露，攻击者似乎获得了优步内部系统的重大访问权限。根据《华尔街日报》查看的截图，这名匿名黑客周四突然出现在公司内部Slack频道宣布：“我是黑客，优步已发生数据泄露”。目击者称，黑客还接管了该公司用于与安全研究人员沟通的账户。

黑客声明发布在HackerOne平台——该在线服务商帮助企业管理与网络安全研究人员的互动。优步是HackerOne的客户。网络安全服务公司Zellic研究员科尔本·里奥（曾与黑客互动）表示，声明是用优步账号发布的，内容更像是"炫耀武力"而非实质性威胁。

优步(Uber)的HackerOne账户发布的一则帖子中，黑客吹嘘自己入侵了优步的亚马逊云科技(Amazon Web Services)账户、谷歌(Google)云服务及其VMware信息技术软件，并邀请读者通过即时通讯应用Telegram与他们联系，利奥说。帖子写道：“优步被黑了，这个HackerOne账户也被黑了。”

优步尚未解释黑客是如何进入其系统的，但根据黑客向一些研究人员做出的解释，该公司未能保护好其安全王国的钥匙。据利奥称，黑客告诉他，他或她诱骗一名优步员工提供了该公司虚拟专用网络的访问权限，并在那里时，黑客能够访问一个被称为特权访问管理服务器的软件，该软件用于保护公司最敏感的登录凭证。

这位自称黑客的人在周四晚间通过Telegram与《华尔街日报》(The Wall Street Journal)的交流中重申了对此事负责的说法，但没有回答更多问题。

此次攻击发生的前一天，优步首席执行官达拉·科斯罗萨西(Dara Khosrowshahi)在一起与该公司2016年数据泄露有关的刑事案件中出庭作证，这标志着众多黑客攻击中的最新一起，这些攻击通过利用有时很简单的攻击途径（如让低级别员工提供登录凭证）入侵科技公司。

优步表示，正在恢复被作为防范措施而暂停的内部系统访问权限。照片：Alexander Cohn/华尔街日报尽管科技公司以雇佣最优秀的技术人才而闻名，但这些专业知识通常用于构建新产品而非保护它们。

“技术部门——尤其是科技公司——面临快速构建和交付的巨大压力，”曾在Twilio公司和Zynga公司等科技公司担任安全高管的Nils Puhlmann表示，“因此任何额外步骤都只是麻烦或阻碍。”

优步事件发生前几周，推特公司前安全主管的举报投诉公开，指控包括隐私和数字安全在内的一系列领域存在“极端、严重缺陷”。这位前高管Peiter Zatko本周早些时候告诉参议员，推特高管的激励机制导致他们将利润置于安全之上。

推特否认了这些指控，并表示Zatko先生正在误导公众。

Zatko先生是在推特遭遇其历史上最严重黑客攻击后不久被聘用的。据美国检察官称，在那次攻击中，佛罗里达州一名青少年说服了一名推特员工相信他是同事。他成功绕过推特的安全系统，获取了包括巴拉克·奥巴马、埃隆·马斯克和坎耶·韦斯特在内的多个推特账户的访问权限。

这名青少年和其他三人因与此次攻击有关而被起诉。这名在入侵时年仅17岁的青少年去年对黑客指控认罪。

优步表示，在本次网约车公司数据泄露事件中，用户敏感数据（如行程记录）未受影响。图片来源：Allison Zaucha for The Wall Street Journal数字身份验证服务商Okta公司称，其于1月遭遇安全漏洞，影响了多达366家客户——约占其客户总数的2.5%。Okta表示，声称对此次攻击负责的黑客通过一名分包商雇员的笔记本电脑入侵了公司系统。

被广泛视为最安全通讯服务之一的Signal平台约一个月前表示，钓鱼攻击影响了约1900名用户，可能导致其电话号码泄露。该公司称黑客通过Twilio获取了这些信息，该公司为Signal提供电话号码验证服务。

对优步而言，这是该公司自2014年以来的第三次重大黑客攻击事件。此前该公司在2018年与联邦贸易委员会达成和解，承诺实施全面隐私计划，在未来20年内进行独立评估并提交报告。

联邦调查局周五发表声明称，正在协助优步处理最新网络安全事件。

优步首席执行官Dara Khosrowshahi周五上午在一起刑事审判中作证，该案被告是优步前高管，因其在2016年数据泄露事件中向黑客支付10万美元而面临妨碍司法指控。

科斯罗萨西先生被问及他在得知数据泄露事件后所采取的措施，该事件导致数百万乘客的姓名、电子邮件和电话号码以及约60万驾照号码被访问。据估计，总共下载了5700万条记录。该公司在事件发生约一年后公开披露了这起数据泄露。

在周五的法庭上，科斯罗萨西先生没有被问及最近的黑客攻击事件，但他表示：“安全问题很严重。”

他补充说：“真实的人可能会受到影响。”

联系 罗伯特·麦克米伦，邮箱：[email protected] 和梅根·博布罗斯基，邮箱：[email protected]

刊登于2022年9月17日印刷版，标题为“优步黑客事件暴露科技行业的致命弱点”。