Uber是一款全球即时用车软件,该软件现已覆盖了全球六十多个国家和三百多个城市。而Uber的主要目的就是为大家提供更安全、更舒适的出行方式,并改善城市交通。
2014年,曾有一伙黑客成功窃取了五万余名Uber出租车司机的个人数据,而这些黑客也并没有使用多么复杂的攻击技术就成功实现了攻击。
Github是广大开发人员共享程序代码的平台,目前已经有超过一千四百万名开发人员正在使用GitHub。作为开源代码库以及版本控制系统,Github拥有数以万计的开发者用户,随着越来越多的应用程序转移到了云上,Github已经成为了管理软件开发以及发现已有代码的首选方法。
这些黑客在GitHub上发现了一些登录凭证,并利用这些登录凭证入侵了公司的数据库系统。而这一切之所以会发生,是因为Uber的一名职工不小心将他的登录凭证上传至了GitHub的代码库中,而且还将他的登录凭证放在了一个他人可公开访问到的页面中,时间长达数月之久。
多年以来,很多开发人员经常会无意地将各种登录凭证和授权证书泄漏出来,而攻击者可以利用这些证书和凭证来获取到各种系统的访问权限,例如数据库系统,网站主机的管理员账号,加密的电子邮件,以及各种应用程序。这是一个很多开发人员经常会犯的错误,而这种愚蠢的错误将会导致灾难性的事件发生,尤其是当泄漏的登录凭证可以解锁公司系统中的关键业务功能时,问题将会变得更加的严重。
在上周发布的一篇技术文章中,安全公司Detectify表示,公司的技术人员对GitHub中的开放代码库进行了分析,并且在代码库中发现了超过一千五百多个不同的“系统访问令牌”,其中就包括很多与Slack有关的登录凭证。这也就意味着,不法分子可以利用这些登录令牌来获取到Slack中的用户隐私数据。可能国内很多用户并不了解Slack,Slack是一款流行的办公通讯软件,很多公司会使用Slack作为公司内部人员通信交流的主要平台。
Detectify公司在其发表的文章中说到:“这些访问凭证属于不同公司的不同使用者,例如支付服务提供商,各大互联网服务提供商,以及医疗保健公司等等,而且很多登录凭证甚至还与福布斯榜的五百强公司有关联。”
根据文章的描述,让现在的情况变得更加糟糕的是,我们甚至可以利用公司的搜索功能直接搜索到大量的系统登录凭证。当我们获取到了这些登录凭证之后,即便用户启用了双因素身份验证功能,我们仍然可以访问其Slack中的数据。
很多开发人员之所以会不小心泄漏出这些登录凭证和访问证书,是因为这些开发人员当时可能正在开发某些开源项目。对于Slack而言,这些项目很可能是类似聊天机器人的项目,而聊天机器人是内置于Slack应用程序中的组件,它可以与用户进行实时交互。从某种程度上来说,聊天机器人的功能代码也许并不是最重要的,但是登录凭证就不一样了,因为攻击者可以利用这些登录凭证来访问Slack的数据系统。
现在的问题就在于,很多开发人员会将他们所设计的程序代码发布到GitHub中,目的就是为了与他人共享代码,并得到其他开发人员的意见或者建议,以此来提升程序的性能。但是,很多开发人员在将代码发布到GitHub之前,却忘记将他们硬编码至项目中的用户凭证移除。
访问凭证的功能远比我们想象的要更加强大,我们还是就Slack的情况进行分析,Slack会给开发人员提供访问凭证,而且谷歌,Facebook,以及推特等大型公司都会给开发人员提供这样的令牌和证书。这样一来,开发人员才可以访问到开发程序时所需要使用的应用程序编程接口(API)。而问题就在于,开发人员很可能会不经意间地将这些访问凭证上传至公共页面,而且实际的情况也正是如此。
无论在任何时候,攻击者都可以利用网络爬虫程序来爬取GitHub中的数据,并在GitHub中寻找所有暴露出来的凭证信息。因此,即便是开发人员迅速地意识到了自己的操作失误,但仍然是为时已晚。
在亚马逊的网站服务部门中,这种问题已经变得非常的普遍和常见了。比如说,公司现在会对GitHub上的公共代码库进行持续性地安全监控,寻找公司客户不经意间泄漏出来的访问密钥。当亚马逊公司发现了这些密钥之后,系统会向客户发送通知邮件,并将相关的安全风险告知用户。
而且,现在还有很多的程序开发者会意外泄漏他们自己的私有加密密钥,而这些加密密钥只有在保密的情况下,才能保证程序能够正常发送或接收安全消息。早在2013年初,曾有人在GitHub中发现了大量的加密密钥,而这些加密密钥也迅速在各大社交媒体平台上传播开来,而且很多加密密钥至今仍然可以在GitHub上找到。
2014年,Uber公司发生了数据泄漏,在此次事件中,大约有五万名Uber出租车司机的姓名和驾驶执照信息被窃取了。随后,公司便对一个普通的无名小卒提起了诉讼。在这个那个诉讼过程中,Uber公司还成功地说服了加尼福尼亚地区法院对GitHub以及Comcast公司发出了传票。
根据法院传票的要求,GitHub必须将所有访问了与Uber登录凭证有关页面的IP地址信息全部提交给法院。而Comcast公司也必须将那些与IP地址有关的人的姓名和家庭住址提供给法院。
GitHub方面目前还没有就此事件作出任何评论,但很明显的是,他们已经将相关的IP地址信息提交给了Uber公司。
路透社在去年十月份曾报道称,根据某位内部人士透露,其中有一个IP地址与Chris Lambert有关。众所周知,Lyft公司是Uber最大的竞争对手,而Chris Lambert正是Lyft公司的首席技术官。
直到去年的十二月份,美国司法部才正式开始对此次数据泄漏事件进行调查,但是当被问及到Lyft公司是否涉嫌此案时,美国司法部门的发言人并没有予以正面回答。在Lyft公司发表的一份声明中,Lyft公司表示,他们没有以任何方式参与此次Uber的数据泄漏事件。
除此之外,公司还在声明中表示:“我们已经对此次事件进行了非常深入和细致地调查,我们也没有发现任何证据可以表明Lyft公司的员工下载了Uber出租车司机的个人信息。所以我们认为,Lyft公司与2014年5月的Uber数据泄漏事件无关。”
文章原文链接:https://www.anquanke.com/post/id/83868