Uber是一款全球即時用車軟件,該軟件現已覆蓋了全球六十多個國家和三百多個城市。而Uber的主要目的就是為大家提供更安全、更舒適的出行方式,并改善城市交通。
2014年,曾有一伙黑客成功竊取了五萬余名Uber出租車司機的個人數據,而這些黑客也并沒有使用多么復雜的攻擊技術就成功實現了攻擊。
Github是廣大開發人員共享程序代碼的平臺,目前已經有超過一千四百萬名開發人員正在使用GitHub。作為開源代碼庫以及版本控制系統,Github擁有數以萬計的開發者用戶,隨著越來越多的應用程序轉移到了云上,Github已經成為了管理軟件開發以及發現已有代碼的首選方法。
這些黑客在GitHub上發現了一些登錄憑證,并利用這些登錄憑證入侵了公司的數據庫系統。而這一切之所以會發生,是因為Uber的一名職工不小心將他的登錄憑證上傳至了GitHub的代碼庫中,而且還將他的登錄憑證放在了一個他人可公開訪問到的頁面中,時間長達數月之久。
多年以來,很多開發人員經常會無意地將各種登錄憑證和授權證書泄漏出來,而攻擊者可以利用這些證書和憑證來獲取到各種系統的訪問權限,例如數據庫系統,網站主機的管理員賬號,加密的電子郵件,以及各種應用程序。這是一個很多開發人員經常會犯的錯誤,而這種愚蠢的錯誤將會導致災難性的事件發生,尤其是當泄漏的登錄憑證可以解鎖公司系統中的關鍵業務功能時,問題將會變得更加的嚴重。
在上周發布的一篇技術文章中,安全公司Detectify表示,公司的技術人員對GitHub中的開放代碼庫進行了分析,并且在代碼庫中發現了超過一千五百多個不同的“系統訪問令牌”,其中就包括很多與Slack有關的登錄憑證。這也就意味著,不法分子可以利用這些登錄令牌來獲取到Slack中的用戶隱私數據。可能國內很多用戶并不了解Slack,Slack是一款流行的辦公通訊軟件,很多公司會使用Slack作為公司內部人員通信交流的主要平臺。
Detectify公司在其發表的文章中說到:“這些訪問憑證屬于不同公司的不同使用者,例如支付服務提供商,各大互聯網服務提供商,以及醫療保健公司等等,而且很多登錄憑證甚至還與福布斯榜的五百強公司有關聯。”
根據文章的描述,讓現在的情況變得更加糟糕的是,我們甚至可以利用公司的搜索功能直接搜索到大量的系統登錄憑證。當我們獲取到了這些登錄憑證之后,即便用戶啟用了雙因素身份驗證功能,我們仍然可以訪問其Slack中的數據。
很多開發人員之所以會不小心泄漏出這些登錄憑證和訪問證書,是因為這些開發人員當時可能正在開發某些開源項目。對于Slack而言,這些項目很可能是類似聊天機器人的項目,而聊天機器人是內置于Slack應用程序中的組件,它可以與用戶進行實時交互。從某種程度上來說,聊天機器人的功能代碼也許并不是最重要的,但是登錄憑證就不一樣了,因為攻擊者可以利用這些登錄憑證來訪問Slack的數據系統。
現在的問題就在于,很多開發人員會將他們所設計的程序代碼發布到GitHub中,目的就是為了與他人共享代碼,并得到其他開發人員的意見或者建議,以此來提升程序的性能。但是,很多開發人員在將代碼發布到GitHub之前,卻忘記將他們硬編碼至項目中的用戶憑證移除。
訪問憑證的功能遠比我們想象的要更加強大,我們還是就Slack的情況進行分析,Slack會給開發人員提供訪問憑證,而且谷歌,Facebook,以及推特等大型公司都會給開發人員提供這樣的令牌和證書。這樣一來,開發人員才可以訪問到開發程序時所需要使用的應用程序編程接口(API)。而問題就在于,開發人員很可能會不經意間地將這些訪問憑證上傳至公共頁面,而且實際的情況也正是如此。
無論在任何時候,攻擊者都可以利用網絡爬蟲程序來爬取GitHub中的數據,并在GitHub中尋找所有暴露出來的憑證信息。因此,即便是開發人員迅速地意識到了自己的操作失誤,但仍然是為時已晚。
在亞馬遜的網站服務部門中,這種問題已經變得非常的普遍和常見了。比如說,公司現在會對GitHub上的公共代碼庫進行持續性地安全監控,尋找公司客戶不經意間泄漏出來的訪問密鑰。當亞馬遜公司發現了這些密鑰之后,系統會向客戶發送通知郵件,并將相關的安全風險告知用戶。
而且,現在還有很多的程序開發者會意外泄漏他們自己的私有加密密鑰,而這些加密密鑰只有在保密的情況下,才能保證程序能夠正常發送或接收安全消息。早在2013年初,曾有人在GitHub中發現了大量的加密密鑰,而這些加密密鑰也迅速在各大社交媒體平臺上傳播開來,而且很多加密密鑰至今仍然可以在GitHub上找到。
2014年,Uber公司發生了數據泄漏,在此次事件中,大約有五萬名Uber出租車司機的姓名和駕駛執照信息被竊取了。隨后,公司便對一個普通的無名小卒提起了訴訟。在這個那個訴訟過程中,Uber公司還成功地說服了加尼福尼亞地區法院對GitHub以及Comcast公司發出了傳票。
根據法院傳票的要求,GitHub必須將所有訪問了與Uber登錄憑證有關頁面的IP地址信息全部提交給法院。而Comcast公司也必須將那些與IP地址有關的人的姓名和家庭住址提供給法院。
GitHub方面目前還沒有就此事件作出任何評論,但很明顯的是,他們已經將相關的IP地址信息提交給了Uber公司。
路透社在去年十月份曾報道稱,根據某位內部人士透露,其中有一個IP地址與Chris Lambert有關。眾所周知,Lyft公司是Uber最大的競爭對手,而Chris Lambert正是Lyft公司的首席技術官。
直到去年的十二月份,美國司法部才正式開始對此次數據泄漏事件進行調查,但是當被問及到Lyft公司是否涉嫌此案時,美國司法部門的發言人并沒有予以正面回答。在Lyft公司發表的一份聲明中,Lyft公司表示,他們沒有以任何方式參與此次Uber的數據泄漏事件。
除此之外,公司還在聲明中表示:“我們已經對此次事件進行了非常深入和細致地調查,我們也沒有發現任何證據可以表明Lyft公司的員工下載了Uber出租車司機的個人信息。所以我們認為,Lyft公司與2014年5月的Uber數據泄漏事件無關。”
就愛閱讀www.92to.com網友整理上傳,為您提供最全的知識大全,期待您的分享,轉載請注明出處。
歡迎轉載:http://www.kanwencang.com/bangong/20161116/56076.html
文章列表
留言列表
