Uber数据库被黑 竞争对手CTO出的招？
2015-10-10 05:13 郑伟 中 
近日据国外媒体报道，美国打车应用Uber（优步）在年初公布的其数据库遭第三方黑客入侵事件似乎有了新的进展。目前，整个事件的调查已逐步集中到一个互联网IP地址上，从知情人士透露的信息来看，这个IP地址很可能与Uber在美国的主要竞争对手Lyft的CTO（首席技术官）Chris Lambert有关联。换言之，Uber现在怀疑去年遭受的严重数据泄露事故，是出自Lyft的一手策划。

数据库遭侵 5万名司机信息泄露
在今年2月份，Uber首次公开了在2014年5月其司机数据库遭到黑客入侵的情况。入侵发生在2014年5月13日，然而直到同年9月份才被Uber发现数据泄露。此后，Uber立即开始调查，但是并没有解释为什么拖了这么久才公开这次安全事件。而在此次事件中，共有50000名司机的姓名和驾驶证号码泄露并被非法下载，造成一定程度上的损失。

Uber司机数据库遭到黑客入侵
为了赔偿受到影响的司机，Uber当时为他们提供了一年的免费账户保护服务。除此之外，Uber向旧金山联邦法院提交了法律文件并发起诉讼，以期通过法律途径找到入侵的黑客。

据称，眼下被调查的IP地址与另一家的打车应用Lyft公司的CTO有一定的关系。而这家公司正是Uber在美国的最主要的竞争对手。Uber在法庭文件中表示，他们发现了一个不明身份的人曾经使用过这个IP地址来访问Uber的安全密钥，而这个IP地址是被分配给了Lyft公司的CTO Chris Lambert，然而法庭文件没有显示该IP地址与黑客之间有直接的联系，因为这个IP地址并不是最终发动攻击的地址。

不过，美国地方法官Laurel Beeler最终还是裁定，Uber调查获得的信息是有助于揭发这起黑客事件的幕后黑手的。而Lyft公司发言人Brandon McCormick则回应说，他们公司在很久以前就已经对这件事件开始了调查，并且也得出了一个结论，说没有证据表明任何Lyft员工，其中包括Chris Lambert在内的人员下载了Uber司机的信息，或者与这起数据泄露事件有任何的牵连。

那么整个数据泄露事件的起源究竟是怎样的呢？

元凶实际是自己

令人大跌眼镜的是，实际上此次数据泄露同Uber内部技术人员的疏忽脱不了干系。据消息透露，在2014年3月，Uber曾不当的将司机数据库的一个数字安全密钥发布到了代码开发平台GitHub的公司公共页面上，而且这一放就是好几个月。

这样，任何使用这个密钥的人便都可以访问Uber的相关页面了。不过，Uber在听证会上指出，虽然GitHub论坛上公布Uber安全密钥的两个帖子的流量应该极少，因此访问帖子的数据“一般应该会披露未经授权下载时那些与Uber有关的人以及在Uber代码上动了手脚的人。”

然而访问页面并不代表便与这次数据泄露有关系，根据调查显示，此次黑客袭击实际是来自一个VPN的IP地址。前面所说的Lyft公司CTO的IP地址并不是最终发动攻击的地址。

保护企业数据安全需要“内外兼修”
不论怎样，Uber自身的疏忽仍是引发此次数据库被黑的始作俑者，很有必要进行下自查。而由此也可看出，一个企业的整体安全实力不仅仅是阻挡外部攻击，还应该转换视角，加大对内部的管理力度。因为，如果想拥有一个真正的网络安全环境，企业有必要进行“内外兼修”。

[课程]Linux pwn 探索篇！