优步用户:澳门威尼斯人注册上个月的数据泄露你需要知道什么
伦敦警察厅网络犯罪专家就黑客如何可能进入公司数据和系统发表了看法
波士顿大学网络安全专家表示,对员工进行教育对于防止黑客攻击至关重要。Jeff Chiu/AP photo提供的资料图片
优步用户:澳门威尼斯人注册上个月的数据泄露你需要知道什么
伦敦警察厅网络犯罪专家就黑客如何可能进入公司数据和系统发表了看法
上个月,美国跨国拼车公司优步(Uber)的内部数据库遭到黑客攻击。这名未透露姓名的18岁男子声称对这起黑客事件负责,他表示,优步的安全措施无效,导致了这起黑客事件的发生。这名黑客最终被逮捕并被警方拘留,据说他通过“社会工程”获得了优步的安全数据,这意味着操纵或欺骗某人,通常通过电子邮件或电话来获取个人或财务信息。这些操作方法在网络犯罪领域变得越来越普遍。这名黑客假扮成企业信息技术人员,声称已经说服一名优步承包商泄露了优步系统的密码。优步表示,黑客也有可能在暗网上购买了公司密码。
根据Uber的说法,在获得承包商的密码后,黑客向承包商的账户发送了多次登录请求,然后能够绕过Uber的双因素登录认证——一个用户在两次电子确认身份后被授予访问权限的系统——当承包商最终接受认证时。这名黑客还被承认进入了优步的Slack账户,并发布了一条消息:“我宣布我是一名黑客,优步遭遇了数据泄露。”
优步发布的安全更新称,他们认为网络犯罪组织Lapsus$应对此次攻击负责。“作为调查的一部分,我们正在与几家领先的数字取证公司合作,”优步写道。“我们还将借此机会继续加强我们的政策、做法和技术,以进一步保护优步免受未来的攻击。”
波士顿大学今天采访了大都会学院的实践教授、网络犯罪调查与网络安全项目主任Kyung-shick Choi (MET ' 02),他谈到了黑客攻击的影响以及公司和用户如何保护自己。
为了篇幅和清晰度,这篇采访经过了编辑。
问&一个
和崔景植一起
今天部: 你能简要描述一下优步安全漏洞的范围吗?
崔:Uber的安全漏洞是一个非常有趣的案例,因为与其他重大漏洞不同,我想知道黑客是否达到了他们真正想要达到的目标。我还以为会有勒索软件攻击这样他们就能获得经济利益了。但这一次,他们似乎并没有得到多少。当然,也许优步的网络安全部门对这一事件迅速做出了反应,但他们明确表示,他们就在Slack上进行了黑客攻击。所以对我来说,这就是更多的动机。他们已经确认了潜在的嫌疑人,Lapsus$。这是一个巴西黑客组织——我猜是一群青少年。我们称他们为“网络朋克”。他们最近很活跃,名声越来越大。我想也许这就是为什么他们瞄准了这么大的公司。
今天部: 你能谈谈他们的方法吗,他们是怎么进入的?
▽崔=根据Uber的说法,黑客集团是从暗网上购买登录密码的。黑客交易、出售和购买旧密码和登录名是很常见的。因此,考虑一下,如果他们是网络朋克,而且技术并不高超,那么通过暗网获取凭证是最简单的犯罪方式,而不是一个复杂的黑客过程。也许在这个例子中就是这样。现在,优步有一个双因素认证系统,所以这是双重保护。有了双因素认证,你得到通知,你必须按下按钮。所以可能(优步员工)认为,好吧,我做了,所以他们批准了。所以这是一种方法,老实说,如果(黑客)那样做,那纯粹是运气。另一种方法,如果他们真的是专门的黑客,就是深入到系统中去。然后他们(会)升级特权,更改信息,将联系人切换为他们自己的。它必须是一次性手机,这样你就可以使用一次性手机获得自己的身份验证。这是非常熟练的黑客所做的事情,但看起来(Uber黑客)没有达到这个水平。这是我的假设。但通常情况下,网络朋克会不断尝试,然后幸运地进入。
今天部: 黑客攻击对用户及其数据的潜在影响是什么?
▽崔=个人信息非常重要。每个人的数据都可以被武器化,用来对付他们。您的数据可能被用于犯罪目的、帐户接管或经济利益。当然,(黑客)还可以出售这些信息。这就是为什么隐私如此重要,因为我们真的必须保护自己。我可以扩展到性犯罪。因此,如果黑客知道了出生日期、地点等所有信息,他们就可以跟踪人们,甚至进行性勒索。我见过很多这样的案例。人们会想,哦,这只是一次黑客攻击。但这不仅仅是一次黑客攻击。对个人、家庭和整个社区造成的损害可能是巨大的。这就是为什么我们必须非常谨慎。
今天部: 哪些数据被认为受到了攻击?
黑客从Slack下载了财务信息。财务信息可以是任何东西。可能是发票或就业信息。因此,我认为(优步和当局)目前正在调查此事,以及哪些类型的信息遭到泄露。据他们说,非敏感数据被泄露了,但在我们真正看到发生了什么之前,我们无法知道。信用卡信息是加密的,因此信息是安全的,其他旅行信息也是安全的。
我认为在事件发生后,优步立即向执法部门报告了此事,现在联邦调查局也介入了。我认为(优步)做了正确的事情,所以一旦联邦调查局介入,他们会进行非常广泛的调查,我们将收到更准确的信息。
今天部: 你认为优步处理得好吗?
我没有看到证据。如果我调查一下,也许我能看到日志文件以及他们真正被黑的时间。在大多数黑客事件中,特别是在大规模的黑客事件中,公司不会立即报告受害者。我希望优步马上报告。至少嫌疑人和黑客组织留下了信息,但我们不知道他们什么时候开始的。所以他们可能花了很长时间,也许一个月的时间,直到他们到达那个阶段。
通常情况下,重大案件都是类似的,因为(被黑客攻击的公司)不想在公司方面毁掉自己的声誉。他们不想给公众留下不好的印象。如果Uber经常被黑客攻击,谁还会用它呢?
在这起案件中,(优步)看到了黑客攻击的迹象,并向执法部门报告了此事。我认为这是正确的做法。这就是为什么优步说,损失可能很小。虽然,我们还不知道。
今天部: 其他拼车应用也容易受到类似的攻击吗?
当然可以。因为黑客的倾向,如果他们是专业的黑客,他们永远不会攻击总部,因为总部有很多安全设施。如果你仔细澳门威尼斯人注册网站研究一下,就会发现所有主要的黑客攻击都不是通过直接入侵主服务器而发生的。(黑客)总是在寻找小供应商。公司的规模可能非常小。这就是一个弱点。这也是你处理数字信息的方式,这非常重要。
但Lyft和其他所有公司肯定都应该小心。这就意味着他们需要教育他们的员工。
今天部: 优步和其他拼车应用应该采取什么措施来防止未来发生类似的攻击?
我有自己的理论,我的理论已经成为计算机犯罪受害的主导理论。这被称为“网络常规活动理论”。非常简单。造成电脑犯罪受害的因素有两个。所以要么是在线行为,这意味着人为错误,要么是安全问题。在整个互联网或电子邮件的历史中,商业电子邮件被泄露一直是头号计算机犯罪受害者。
另一个因素是网络安全。如果你没有基本的保护怎么办?如果你没有内部安全管理怎么办?也就是说,你的公司有强有力的政策吗?如果发生了什么事,应急反应是非常重要的。如果你没有事件响应策略,他们什么都有。你只需要等待执法部门,看着黑客窃取每一件东西。你什么都做不了,因为你不知道该做什么。
教育员工也很重要。这是至关重要的。
许多(黑客)案件,我想说接近50%,都是内部人士所为。这就是为什么你必须维护所有的安全凭证,尤其是当(员工)离开公司的时候。复仇是一个很大的因素。(如果)他们不只是友好地离开……(如果)他们利用这些信息做些什么,可能是出售信息,或共享所有凭证,或将其出售给暗网。
今天部: 据信,这名黑客可能通过一种被称为社会工程的心理操纵策略进入了优步的内部系统。优步和其他公司如何更好地准备和培训员工来识别这些有说服力的技巧?
有效的培训必须是实践培训。所以从统计学上讲,实践训练确实能提高你的长期记忆。这种类型的训练是必不可少的,所以当你点击它时,你会感觉到它,看看会发生什么。我们在麻省理工学院的项目旨在培训我们未来的执法人员进行网络犯罪调查和网络安全。我们在创造一个场景。我们有一个嫌疑人和一个受害者。学生们真的感受到了。他们正在调查这起案件,看看(黑客)是如何发送网络钓鱼邮件的,他们真的在观察。
此外,技术几乎每天都在快速发展。然后我们的上网行为会迅速适应。公司应该考虑到这一点和不断变化的技术。例如,公司应该真正了解他们的员工群体和使用社交媒体的特点。
今天部: 用户在使用拼车应用程序时如何保护自己和个人数据?
每当你听说发生了意外,你要做的第一件事就是更改密码。如果你看到任何事情发生,比如公司方面的黑客事件,我强烈建议你更改密码,这样(黑客)就不能再为所欲为了。
当然,永远不要使用你以前用过的密码。如果我是优步的客户,我会有一个非常强的密码。当你下载应用的时候要小心,确保你下载的是正版应用,因为有很多复制的应用。
评论与讨论
波士顿大学缓和评论,以促进知情的、实质性的、文明的对话。辱骂、亵渎、自我推销、误导、语无伦次或离题的评论将被拒绝。版主在正常营业时间(EST)有澳门威尼斯人注册,只能接受用英语写的评论。统计数据或事实必须包含引文或引文链接。