【資安日報】2022年9月19日，Uber特權管理系統管理員帳密遭竊、密碼管理解決方案業者LastPass針對8月遭駭透露更多調查結果

從上週末到今天的資安新聞中，有多起企業遭到網路攻擊的資安事故。其中又以Uber遭到駭客入侵，對方取得各式系統的管理者權限引起各界高度關注。值得留意的是，駭客也是針對員工發動釣魚攻擊，進而掌握特權管理系統的管理者帳號。

密碼管理解決方案業者LastPass於8月底遭到入侵，部分原始碼外洩，他們公布新的調查結果，並確認原始碼與正式版軟體都沒有遭到駭客植入惡意內容。

【攻擊與威脅】

將帳密寫死在指令碼釀新禍！有駭客透過網釣取得這類資訊而滲透Uber的特權管理系統

車輛共乘媒合平臺Uber傳出在9月15日遭到網路攻擊，年僅18歲的駭客向媒體、資安人員表示，他先針對該公司員工進行社交工程攻擊，竊得相關帳密後存取Uber的內部網路環境。

這名駭客聲稱能夠存取該公司的AWS控制臺、VMware ESXi的虛擬機器，Google Workspace的管理儀表板等，駭客還在Uber所屬的Slack頻道上向該公司員工表示，Uber已經遭到入侵，結果許多員工以為是開玩笑而不予理會，一名員工透露IT部門要求他們暫時停止使用Slack；此外，員工上網似乎都會被導向色情網站。

隔日，Uber證實遭到入侵，但強調他們旗下的服務皆不受影響。研究人員Corben Leo表示，駭客是假冒Uber的IT人員向員工進行攻擊，得逞後通過VPN存取該公司內部環境，找到PowerShell指令碼並挖掘出特權管理系統Thycotic的管理員帳號，進而取得該公司各式系統帳號。根據紐約時報的報導，駭客疑似存取了Uber的資料庫與原始碼。

星巴克22萬新加坡客戶資料流入暗網

根據資安新聞網站Bleeping Computer報導，知名連鎖咖啡店星巴克的新加坡客戶資料流入暗網，駭客於9月10日在地下論壇聲稱竊得219,675筆資料，內含客戶的姓名、性別、出生日期、行動電話號碼、電子郵件信箱、居住地址，這些受影響人士的身分，主要是星巴克行動裝置App的用戶，上述資料駭客求售3,500美元。

新加坡新聞媒體海峽時報（The Straits Times）指出，當地星巴克已經向受影響的客戶發出通知，並呼籲所有的客戶最好重設密碼來避免帳號遭到濫用。

瀏覽器拼字檢查功能未將密碼排除在外，而導致密碼上傳到Google與微軟

專精JavaScript安全的資安業者otto提出警告，用戶若是啟用網頁瀏覽器Chrome的進階拼字檢查（Enhanced Spellcheck）功能，以及Edge的拼寫檢查元件Microsoft Editor，瀏覽器就有可能將網站表單裡輸入的資料傳送給Google或是微軟，假如是密碼欄位，且使用者點選了「顯示密碼」按鈕，就會將密碼傳送出去。

研究人員指出，這是兩家公司為了改善翻譯結果，將使用者輸入的資料回傳到伺服器進行分析，但這樣的機制也會回傳用戶點選明文顯示的密碼，他們將這種威脅稱為「拼字劫持（Spell-Jacking）」，並挑選超過50個網站進行測試，結果高達96.7%的網站，都會把使用者輸入的資料傳送給Google或微軟，也有73%會送出密碼，而約有20％網站不會送出密碼的原因，則是因為沒有提供顯示密碼的功能。

該公司呼籲網站管理者，應在特定欄位加上關閉拼字檢查的指令，來因應瀏覽器拼字檢查功能將用戶資料回傳到Google或微軟的情況。Google、微軟並未針對此事做出回應。

越南駭客聲稱取得飯店集團IHG的密碼庫存取權限，並破壞資料

洲際飯店集團（InterContinental Hotels Group，IHG）遭到網路攻擊．現在有人聲稱是發動攻擊的駭客，並向媒體表示破壞IHG資料只是因為好玩，也展示與之相關的螢幕截圖，且獲得IHG證實。

根據英國廣播公司（BBC）的報導，有自稱是TeaPea的越南駭客透過加密通訊軟體Telegram表示，這起事故是他們所為，先是鎖定員工發動釣魚郵件攻擊並於電腦植入惡意軟體，進而入侵IHG網路環境，並存取密碼資料庫，接著先後發動勒索軟體攻擊、資料破壞軟體（Wiper）攻擊。

密碼管理解決方案業者LastPass針對8月遭駭透露更多調查結果

密碼管理解決方案業者LastPass遭到入侵，駭客盜走部分程式碼與獨家技術資料，現在該公司揭露進一步的分析結果。

LastPass於9月15日指出，駭客發動攻擊的過程共有4天，且在成功通過多因素驗證流程後冒充該公司的開發人員。經過分析原始碼與檢查正式版軟體，LastPass表示並未找到被駭客注入惡意程式碼的跡象。關於原始碼沒有遭竄改，該公司認為，主要是開發環境與正式環境採取實體隔離的措施，使得正式環境得以保全。