從上週末到今天的資安新聞中,有多起企業遭到網路攻擊的資安事故。其中又以Uber遭到駭客入侵,對方取得各式系統的管理者權限引起各界高度關注。值得留意的是,駭客也是針對員工發動釣魚攻擊,進而掌握特權管理系統的管理者帳號。
密碼管理解決方案業者LastPass於8月底遭到入侵,部分原始碼外洩,他們公布新的調查結果,並確認原始碼與正式版軟體都沒有遭到駭客植入惡意內容。
【攻擊與威脅】
將帳密寫死在指令碼釀新禍!有駭客透過網釣取得這類資訊而滲透Uber的特權管理系統
車輛共乘媒合平臺Uber傳出在9月15日遭到網路攻擊,年僅18歲的駭客向媒體、資安人員表示,他先針對該公司員工進行社交工程攻擊,竊得相關帳密後存取Uber的內部網路環境。
這名駭客聲稱能夠存取該公司的AWS控制臺、VMware ESXi的虛擬機器,Google Workspace的管理儀表板等,駭客還在Uber所屬的Slack頻道上向該公司員工表示,Uber已經遭到入侵,結果許多員工以為是開玩笑而不予理會,一名員工透露IT部門要求他們暫時停止使用Slack;此外,員工上網似乎都會被導向色情網站。
隔日,Uber證實遭到入侵,但強調他們旗下的服務皆不受影響。研究人員Corben Leo表示,駭客是假冒Uber的IT人員向員工進行攻擊,得逞後通過VPN存取該公司內部環境,找到PowerShell指令碼並挖掘出特權管理系統Thycotic的管理員帳號,進而取得該公司各式系統帳號。根據紐約時報的報導,駭客疑似存取了Uber的資料庫與原始碼。
星巴克22萬新加坡客戶資料流入暗網
根據資安新聞網站Bleeping Computer報導,知名連鎖咖啡店星巴克的新加坡客戶資料流入暗網,駭客於9月10日在地下論壇聲稱竊得219,675筆資料,內含客戶的姓名、性別、出生日期、行動電話號碼、電子郵件信箱、居住地址,這些受影響人士的身分,主要是星巴克行動裝置App的用戶,上述資料駭客求售3,500美元。
新加坡新聞媒體海峽時報(The Straits Times)指出,當地星巴克已經向受影響的客戶發出通知,並呼籲所有的客戶最好重設密碼來避免帳號遭到濫用。
瀏覽器拼字檢查功能未將密碼排除在外,而導致密碼上傳到Google與微軟
專精JavaScript安全的資安業者otto提出警告,用戶若是啟用網頁瀏覽器Chrome的進階拼字檢查(Enhanced Spellcheck)功能,以及Edge的拼寫檢查元件Microsoft Editor,瀏覽器就有可能將網站表單裡輸入的資料傳送給Google或是微軟,假如是密碼欄位,且使用者點選了「顯示密碼」按鈕,就會將密碼傳送出去。
研究人員指出,這是兩家公司為了改善翻譯結果,將使用者輸入的資料回傳到伺服器進行分析,但這樣的機制也會回傳用戶點選明文顯示的密碼,他們將這種威脅稱為「拼字劫持(Spell-Jacking)」,並挑選超過50個網站進行測試,結果高達96.7%的網站,都會把使用者輸入的資料傳送給Google或微軟,也有73%會送出密碼,而約有20%網站不會送出密碼的原因,則是因為沒有提供顯示密碼的功能。
該公司呼籲網站管理者,應在特定欄位加上關閉拼字檢查的指令,來因應瀏覽器拼字檢查功能將用戶資料回傳到Google或微軟的情況。Google、微軟並未針對此事做出回應。
越南駭客聲稱取得飯店集團IHG的密碼庫存取權限,並破壞資料
洲際飯店集團(InterContinental Hotels Group,IHG)遭到網路攻擊.現在有人聲稱是發動攻擊的駭客,並向媒體表示破壞IHG資料只是因為好玩,也展示與之相關的螢幕截圖,且獲得IHG證實。
根據英國廣播公司(BBC)的報導,有自稱是TeaPea的越南駭客透過加密通訊軟體Telegram表示,這起事故是他們所為,先是鎖定員工發動釣魚郵件攻擊並於電腦植入惡意軟體,進而入侵IHG網路環境,並存取密碼資料庫,接著先後發動勒索軟體攻擊、資料破壞軟體(Wiper)攻擊。
密碼管理解決方案業者LastPass針對8月遭駭透露更多調查結果
密碼管理解決方案業者LastPass遭到入侵,駭客盜走部分程式碼與獨家技術資料,現在該公司揭露進一步的分析結果。
LastPass於9月15日指出,駭客發動攻擊的過程共有4天,且在成功通過多因素驗證流程後冒充該公司的開發人員。經過分析原始碼與檢查正式版軟體,LastPass表示並未找到被駭客注入惡意程式碼的跡象。關於原始碼沒有遭竄改,該公司認為,主要是開發環境與正式環境採取實體隔離的措施,使得正式環境得以保全。
【其他資安新聞】
營業秘密保護不只是高科技業需要,台積電建議金融、旅遊、餐飲服務業也應及早建立保護制度
資安業者Bitdefender提供勒索軟體LockerGoga解密工具
SAP修補BusinessOne、BusinessObjects、GRC高風險漏洞
電玩業者Rockstar遭駭,駭客聲稱竊得測試版遊戲的影片與原始碼
近期資安日報
【2022年9月16日】 加拿大電信業者BTS傳出遭勒索軟體Hive攻擊、電腦版Teams應用程式以明文儲存用戶身分驗證資料
熱門新聞
2024-12-27
2024-12-24
2024-12-22
2024-11-29
2024-12-20