2026-03-27 01:08:20 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文深入剖析了2022年优步（Uber）公司遭遇的网络攻击事件。攻击者通过在暗网购买被盗凭证，并利用社会工程学手段绕过多因素认证，成功入侵公司网络。随后，攻击者通过读取内部网络共享文件中的明文特权凭证，进一步提升了权限，获得了对包括AWS、Slack在内的多个敏感服务的管理员级访问权限。尽管攻击造成了大范围的渗透，但并未导致核心敏感数据泄露。文章最后讨论了事件反映出的安全控制缺失，并强调了采用零信任架构等深度防御方法的重要性。 综合评分： 85 文章分类： 渗透测试,WEB安全,应急响应,恶意软件,安全意识

cover_image

案例研究：Uber黑客攻击事件

原创

骨哥说事骨哥说事

骨哥说事

2026年3月19日 10:03 上海

| | | — | | 声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。 |

防走失：https://gugesay.com/

不想错过任何消息？设置星标↓ ↓ ↓

本文将深入剖析优步（Uber）公司遭遇的一起网络攻击事件。与之前的案例研究一致，我们将分析攻击者渗透企业网络、提升权限以及可能窃取敏感信息所采用的技术手段。

事件概述

2022年9月15日，知名网约车及外卖服务公司优步（Uber）正式确认发生了一起波及全公司的安全漏洞事件[244]。根据公开报道[243][245][246]，攻击者成功入侵公司系统并横向移动，获取了关键资源的访问权限。事件曝光源于一名自称入侵了优步系统的17岁人员，其公开分享了入侵证据——包括邮件控制台、特权服务器访问权限的截图以及漏洞报告，证实了内部网络已被成功攻破[244]。攻击发生后，攻击者通过公司内部全员使用的即时通讯应用向全公司宣布了入侵成功的消息[247]。

研究方法

本案例研究将分为以下几个阶段展开：

行动追踪：采用事件链分析法[217]重构攻击者的行动轨迹，即通过梳理一系列相互关联的行动及其产生的影响，还原事件的最终结果。
缺失安全控制措施评估：识别并重点分析零信任架构（ZTA）框架下，此次漏洞事件中本应具备但实际缺失的安全防护措施。
讨论：最后，从研究视角对该事件进行探讨，推测若部署零信任架构（Zero Trust Architecture），在事件遏制方面可能对攻击影响产生的作用程度。

本研究中关于攻击过程、事件时序及漏洞发生时缺失的安全措施等信息，均来源于公开渠道，包括相关文章[243][244][245]、安全公告[248][249]、相关方官方声明[250]、新闻稿[251][254]以及社交媒体帖子[252][253]。

1. 行动追踪与 2. 缺失安全控制措施评估

本节将系统梳理攻击者可能的入侵路径，按顺序解析事件链。相关事件流程如下图所示。

来源：https://www.cyberark.com/resources/blog/unpacking-the-uber-breach

→ 阶段1：侦察（Reconnaissance）

我们推测，攻击者通过浏览暗网市场购买了可访问优步内部网络的被盗凭证。事件发生前，9月12日和14日，暗网上出现了窃取信息工具（infostealers）收集的日志售卖信息[248]。由于利用这些凭证发起的攻击在9月15日至16日被曝光，因此可以确定这些被盗凭证时效性极强。

缺失的安全控制措施

威胁情报（Threat Intelligence）：优步未对暗网论坛及市场进行监控，错失了识别并处理员工信息泄露风险的机会。

→ 阶段2：武器化（Weaponization）

该阶段通常指将网络武器（如恶意软件）与传播载体相结合。在本次攻击中，攻击者将从暗网市场购买的凭证武器化，用于未经授权访问优步系统。

缺失的安全控制措施

本阶段无明确缺失的安全控制措施。

→ 阶段3：交付（Delivery）

获取凭证后，攻击者最初尝试连接优步网络时因多因素认证（MFA）保护而失败[244]。随后，攻击者发起了多因素认证疲劳攻击（multifactor authentication fatigue attack），反复尝试登录，向该外包员工的优步账户发送大量多因素认证通知[245]。之后，攻击者伪装成优步安全团队成员，通过即时通讯应用联系该员工，胁迫其通过多因素认证请求[248]。该员工在大量通知的压力下最终妥协，攻击者由此获得网络访问权限，在优步内部网络中站稳脚跟。

缺失的安全控制措施

认证与访问控制措施：优步未能对登录尝试进行有效监控。若第三方尝试登录企业账户但未成功进入网络，优步不会收到相关通知[255]，这些失败的登录尝试也未触发优步的安全系统告警。这很可能是因为优步未部署终端主机检查、基于风险或属性的认证机制，也未实施条件访问措施（如设备指纹识别、域连接验证、地理IP追踪、位置数据校验、设备X.509证书认证等），导致公司在安全态势评估和告警方面存在漏洞。

安全意识培训：由于未开展定期安全培训及模拟钓鱼测试，员工缺乏应对此类攻击的识别能力和防御准备。

多因素认证（MFA）说明：一种常见误解认为多因素认证能完全阻止未授权访问。虽然多因素认证通常较为可靠，但仍可能受到中间人攻击（Man-in-the-middle attacks, MiTM）的威胁（第83页简要提及）。例如，攻击者可通过创建与原始页面高度相似的伪造登录页面，诱骗受害者泄露凭证，从而绕过多因素认证。

→ 阶段4：利用（Exploitation）

根据公开报道推测，被入侵的外包员工账户虽无独特访问权限，但因权限配置便利或误配置，可读取大量网络文件共享资源。攻击者在该网络共享中发现了一个PowerShell脚本，其中包含优步特权访问管理（Privileged Access Management, PAM）解决方案的硬编码特权凭证[252]。特权访问管理（PAM）是帮助企业严格控制特权账户的流程，此类账户拥有访问敏感系统和数据的高级权限。这一发现使攻击者获得了多个系统的管理员级访问权限[244][257]。

缺失的安全控制措施

凭证管理（Credential Management）：优步以明文形式存储凭证，未将其隔离至安全容器中，导致凭证泄露风险。若对敏感数字资产实施加密，并将其存储在隔离的安全容器/密钥库中，可有效限制未授权访问的影响范围。

多因素认证协议（MFA Protocols）：若在认证过程中引入物理安全认证密钥（如FIDO2[256]），要求用户进行物理交互（尤其针对特权账户授权），可进一步强化安全防护层级。

网络分段与单点登录（Network Segmentation & Single Sign-on, SSO）：关键资源缺乏战略性分段防护，未部署如IP白名单等策略执行措施来控制可访问特定资源的地址。虽然单点登录（SSO）提升了访问便利性，但其配置未实施充分的访问控制机制，导致系统在凭证泄露情况下极易受到攻击。观察发现，优步未采取明确的战略方案或操作措施，为不同平台及特权账户设置差异化访问级别或降低数据泄露风险。

→ 阶段5和6：安装与命令控制（Installation & Command and Control, C&C）

通过特权访问管理（PAM）解决方案获得高权限用户凭证后，攻击者进一步建立持久化控制，侵入优步多个敏感服务，包括亚马逊网络服务（AWS）、终端检测与响应（EDR）软件、谷歌工作区（Google Workspace）、Slack、云计算虚拟化平台VMware vSphere等[247][254]。据称，攻击者还访问了优步的漏洞赏金计划报告，其中包含大量未修复的安全漏洞信息[252]。

缺失的安全控制措施

精细化监控（Granular Monitoring）：特权访问管理（PAM）系统中的特权账户未得到充分监控。根据公开报道，优步未部署识别常规管理员操作及异常行为的相关措施，导致攻击检测难度极大。缺乏针对特定用户和/或特定应用的监控机制，使得企业无法及时识别被入侵的管理员账户，也无法对攻击者在基础设施中的横向移动做出有效响应。

→ 阶段7：达成目标（Actions on Objective）

尽管系统遭到大规模入侵，但攻击者并未选择破坏优步的系统。目前尚无证据表明攻击者实施了勒索软件部署或数据窃取等行为[248][254]。

缺失的安全控制措施

本阶段无明确缺失的安全控制措施。

事件影响

尽管攻击者获得了优步多个敏感内部资源的管理员访问权限，包括亚马逊网络服务身份访问管理（AWS Identity Access Management, IAM）和终端检测与响应（EDR）门户，但此次攻击造成的损失相对有限——未对系统或业务运营造成重大损害，未发生勒索软件部署或公司敏感数据被盗等情况。有迹象表明，攻击者的动机更多是追求攻击成功带来的快感及黑客社区内的认可度，而非恶意破坏或经济利益[247][254]。经确认，攻击者仅窃取了部分内部消息及财务团队用于管理发票的软件中的有限信息[243]。目前无公开证据显示攻击者获取了个人身份信息（Personally Identifiable Information, PII）、行程记录或支付偏好等敏感数据[250]。

攻击者公开其行为后，优步采取了多项响应措施以减轻损失并加强系统安全[250]：

暂时锁定代码库，禁止任何新的代码变更；
识别、封禁并修复已泄露及疑似泄露的账户；
进一步限制所有员工对PowerShell等内部工具的使用及系统配置修改权限；
重置多个内部服务的访问控制策略。

3. 讨论

此次优步网络攻击事件，以及近期Cloudflare[257]、Cisco[258]等大型企业遭遇的类似攻击，凸显了企业当前面临的持续社会工程学威胁。本次事件的特殊之处在于，攻击者在完全控制优步系统后选择收手。若攻击者以经济利益为驱动，在无任何安全阻碍的情况下，完全可以部署勒索软件，或在暗网出售漏洞信息及特权账户凭证。目前优步所采用的部分安全措施（如数据泄露防护（Data Loss Prevention, DLP））的具体细节尚不明确，但考虑到攻击者获得的访问权限级别，其完全可以通过修改配置规避检测并窃取信息。

与Equifax漏洞事件类似，优步此次漏洞并非单一环节的失败，而是一系列事件连锁反应的结果，包括社会工程学攻击、内部人员操纵、凭证泄露、未被检测的权限提升以及缺乏有效的应用分段防护。攻击者通过外部顾问的虚拟专用网络（VPN）凭证进入内部网络，而该顾问本应仅能有限访问优步内部资源。此次漏洞的核心危害在于，攻击者通过该泄露账户发现了网络文件共享中存储的明文凭证。

在梳理攻击步骤并明确缺失的安全控制措施后，我们认可零信任模型（Zero Trust model）的潜力及其在安全领域的核心作用。我们坚信，若优步的安全架构包含多层控制系统，并采用融合零信任策略的深度防御方法，此次入侵的影响本可在初始访问阶段得到遏制和缓解。攻击者或许能够实现初步入侵，但在进一步渗透或访问更多敏感系统时将受到极大限制。

参考文献

[217] K. Singh, J. Maiti, 和 K. Dhalmahapatra，《安全管理的事件链模型：数据分析方法》，《安全科学》（Safety Science），第118卷，第568-582页，2019年10月，文献链接：https://doi.org/10.1016/j.ssci.2019.05.044

[243] CyberArk博客团队，《解析优步漏洞事件》，www.cyberark.com，2022年9月20日。获取链接：https://www.cyberark.com/resources/blog/unpacking-the-uber-breach

[244] Masarrati，《近期优步漏洞事件及经验教训》，《鹰眼安全》（HAWKEYE），2022年9月29日。获取链接：https://www.hawk-eye.io/2022/09/recent-uber-breach-and-lessons-learnt/

[245] R. Turner，《从优步漏洞事件中获得的深刻启示》，《信息安全杂志》（Infosecurity Magazine），2022年9月27日。获取链接：https://www.infosecurity-magazine.com/opinions/learnings-uber-breach

[246] M. Jackson，《2022年优步漏洞事件——你需要了解的一切》，《GitGuardian博客》（GitGuardian Blog），2022年9月16日。获取链接：https://blog.gitguardian.com/uber-breach-2022/

[247] E. Kost，《优步数据泄露的原因是什么？| UpGuard》，www.upguard.com，2022年12月11日。获取链接：https://www.upguard.com/blog/what-caused-the-uber-data-breach

[248] R. Lakshmanan，《优步称最新漏洞未导致敏感数据泄露》，《黑客新闻》（The Hacker News），2022年9月17日。获取链接：https://thehackernews.com/2022/09/uber-claims-no-sensitive-data-exposed.html

[249] M. Kapko，《优步详细说明遭入侵过程，称损失有限》，《网络安全潜水》（Cybersecurity Dive），2022年9月19日。获取链接：https://www.cybersecuritydive.com/news/uber-attack-details/632193/

[250] 优步团队，《安全更新》，《优步新闻室》（Uber Newsroom），2022年9月16日。获取链接：https://www.uber.com/newsroom/security-update/

[251] S. Nichols，《优步称Lapsus$黑客组织是网络漏洞的幕后黑手》，《安全》（Security），2022年9月19日。获取链接：https://www.techtarget.com/searchsecurity/news/252525111/Uber-says-Lapsus-hackers-behind-network-breach

[252] A. Yevdokimova，《2022年优步漏洞事件：检测导致企业系统全面被接管的破坏性网络攻击》，《SOC Prime》，2022年9月19日。获取链接：https://socprime.com/blog/uber-breach-2022-detect-the-destructive-cyber-attack-causing-the-complete-organizations-system-takeover/

[253] 《优步将黑客攻击归咎于Lapsus$组织》，《世界报》（Le Monde.fr），2022年9月20日。获取链接：https://www.lemonde.fr/en/international/article/2022/09/20/uber-blames-hack-on-lapsus-group_5997648_4.html

[254] A. Uberoi，《优步网络攻击：实时时间线》，www.cm-alliance.com，2022年9月18日。获取链接：https://www.cm-alliance.com/cybersecurity-blog/uber-cyber-attack-crowdsourced-timeline

[255] T. Jethwani，《2022年优步数据泄露事件：你需要了解的内容》，www.appknox.com，2022年9月22日。获取链接：https://www.appknox.com/blog/uber-data-breach-2022

[256] R. Campillo，《什么是FIDO2？其用途及工作原理是什么？》，《Mobbeel》，2022年4月19日。获取链接：https://www.mobbeel.com/en/blog/what-is-fido2-what-is-it-for-and-how-does-it-work/

原文：https://infosecwriteups.com/case-study-the-uber-hack-d9453d275060

感谢阅读，如果觉得还不错的话，动动手指给个三连吧～

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：骨哥说事骨哥说事骨哥说事《案例研究：Uber黑客攻击事件》