优步科技公司表示,在其网络明显遭到破坏并且运输提供商不得不关闭几个内部通信和工程系统后,它正在调查一起网络安全事件。
据《纽约时报》周四援引优步发言人的话报道,一名黑客入侵了一名员工的工作场所消息应用程序 Slack,并用它向优步员工发送消息,宣布该公司遭遇数据泄露。
报告补充说,黑客后来似乎能够访问其他内部系统,在员工的内部信息页面上发布了一张露骨的照片。
优步在一条推文中说:“我们正在与执法部门联系,并将在此处发布更多更新,”但未提供更多细节。
“锁定一切”
“看起来他们已经泄露了很多东西,”与黑客交流的 Yuga Labs 工程师 Sam Curry 说。他说,这包括完全访问优步存储其源代码和客户数据的亚马逊和谷歌托管的云环境。
库里说,他与几名优步员工交谈,他们说他们“正在努力在内部锁定一切”以限制黑客的访问。
据《泰晤士报》援引两名未获授权公开发言的员工的话说,在员工收到黑客的信息后,Uber 将 Slack 系统下线。
“我宣布我是一名黑客,优步遭受了数据泄露,”该消息写道,并继续列出了几个声称受到损害的内部数据库,它补充说。
一名声称对这次黑客攻击负责的人告诉该报,他已向一名自称是公司 IT 人员的 Uber 员工发送了一条短信。
它说,这名工人被说服交出一个密码,让黑客可以访问优步的系统。
Slack 在给路透社的一份声明中表示,该公司正在调查这一事件,没有证据表明其平台存在固有漏洞。 “优步是一位尊贵的客户,如果他们需要我们,我们会随时为他们提供帮助,”Salesforce Inc. 旗下的 Slack 说。
报告称,Uber 员工被指示不要使用 Slack。其他内部系统也无法访问。
没有真正的伤害
库里说,没有迹象表明黑客造成了任何损害,或者对宣传以外的任何事情感兴趣。也没有迹象表明优步的车队或其运营受到任何影响。
“我的直觉是,他们似乎是为了获得尽可能多的关注,”库里说。
黑客通过使用内部 Uber 帐户来评论他们之前通过漏洞赏金计划在公司网络上发现的漏洞,从而向库里和其他安全研究人员发出了入侵警报,该计划向有道德的黑客支付费用以找出网络弱点。
黑客提供了一个 Telegram 账户地址,Curry 和其他研究人员随后与他们进行了单独的对话,分享了优步云提供商的各个页面的屏幕截图,以证明他们闯入了。
泰晤士报称,这名黑客自称是 18 岁,并表示他们闯入是因为该公司的安全性薄弱。
该公司之前曾被黑客入侵。
其前安全负责人约瑟夫沙利文目前正在接受审判,指控他安排向黑客支付 100,000 美元以掩盖 2016 年的高科技盗窃案,其中约 5700 万客户和司机的个人信息被盗。
