英特爾與 Uber 都攤上事兒了：前者曝光系統安全漏洞，後者隱瞞數據被盜事實

今天對於科技界的兩位巨頭，特別是他們的安全技術人員來說，可能並不是好過的一天。

他們一個是最近頻頻在公開場合露面的晶元企業英特爾，一個是在共享經濟與無人駕駛領域都頗有建樹的科技獨角獸 Uber。

其中，前者在今天公布的一項安全建議中披露，其運行在晶元組一個單獨微處理器上的獨立子系統——Management Engine 出現了安全漏洞，而該漏洞所可能導致的最壞情況是「在用戶和操作系統沒有意識到的情況下，載入和執行任意代碼」；

而後者則陷入了更大的麻煩，甚至成為了今天科技圈所有外媒的「頭版頭條」：

5700 萬乘客與司機的個人信息被盜取。這個事實被 Uber 隱瞞了一年左右，且曾用 10 萬美元「封嘴費」要求黑客刪除被盜信息並保持沉默。

在這起引發科技界震動的醜聞曝光後，Uber 再次被推向風口浪尖，其首席安全官 Joe Sullivan 與他的一位副手被迫下台，而 Uber 也將開始正式接受紐約總檢查長與聯邦貿易委員會的的調查。

首先，我們來看看英特爾自己主動公布的一項安全漏洞：

多年來，安全研究人員一直在對英特爾的遠程管理功能（即管理引擎，Management Engine，簡稱 ME）發出警告。

該平台對 IT 管理者有很多有用的功能，但是其需要獲取對深層系統的訪問許可權，這對攻擊者來說是極具誘惑性的目標——為管理引擎提供如此的許可權可能導致計算機被其他人完全控制。

如今，在幾個研究小組發現了 ME 的漏洞後，英特爾已經確認了最壞情況發生的可能性。

就在美國時間周一，英特爾發布了一項安全建議，羅列出了 ME 中新的弱點以及在遠程服務管理工具 Server Platform Services 與硬體認證工具 Trusted Execution Engine 中的漏洞。

受到近期研究的影響，英特爾對自己的產品進行了安全性審查，發現了其中存在的缺陷。

隨即，公司發布了檢測工具，Windows 與 Linux 用戶可以使用該工具查看系統是否暴露在這些漏洞之下。

上層管理

管理引擎（Management Engine）是運行在英特爾晶元組一個單獨微處理器上的獨立的子系統；它的存在允許管理者遠程控制其計算機上所有的功能，從更新到故障排除。

正是因為管理引擎擁有廣泛的訪問許可權並且可以完全控制主系統處理器，所以管理引擎中的缺陷為攻擊者提供了一個強有力的起始點。一些人甚至將 ME 稱為一項「多餘」的安全隱患。

根據俄羅斯固件研究員 Maxim Goryachy 與缺陷評測公司 Positive Technologies 的 Mark Ermolov 下月將要在著名黑客大會「黑帽歐洲」（Black Hat Europe）上發表的結果，英特爾專門進行了發言人 Agnes Kwan 所說的「積極的、廣泛的、嚴格的產品評估」。

結果展示了 ME 上的一個漏洞，該漏洞可以在最新的英特爾晶元組上運行無記名、無驗證的代碼，使用管理引擎作為不受限的啟動點獲得越來越多的控制許可權。

此外，研究人員還揭露了 ME 的一個危險的特性：

即使計算機處於「關閉」狀態，（只要插入設備）代碼也能運行，因為 ME 在單獨的微處理器上，實際上它相當於一台完全獨立的計算機。

與之前 ME 的漏洞一樣，幾乎所有的英特爾晶元都在此次事件的影響範圍內，伺服器、個人計算機和物聯網設備都受到波及。

而更複雜的問題是：英特爾可以向製造商提供更新服務，但是客戶需要等待硬體公司發布修補程序。英特爾維持了可用固件更新的列表，但是至今為止只有聯想公司提供了修補程序。

不過，英特爾還是確認了最壞情況發生的可能性。

「這些更新現在可以使用了，」英特爾在給外媒 Wired 中的聲明中說道，「商業、系統管理員和使用含有英特爾產品的計算機用戶或是硬體設備用戶，應該檢查其設備生產商或供應商是否為系統進行了更新，應該儘可能快地為系統進行適當的更新。」

此外，在很多情況下，補丁需要一段時間才能起效。

值得注意的是，新披露出的漏洞可能導致不穩定或者系統崩潰。攻擊者可以使用這些漏洞偽裝成 ME、 Server Platform Services 和 Trusted Execution Engine 侵蝕安全驗證。

英特爾表示，這些漏洞甚至可以「在用戶和操作系統沒有察覺的的情況下，載入和執行任意代碼」，而這才是 ME 最危險的地方。

如果這一點被利用，它可以完全獨立於主計算機運行，這意味著許多 ME 的攻擊者可以不引發警報就進行操作。

尚不明確的後果

不過，鑒於英特爾公布的信息有限，所以 ME 漏洞真正的影響還未可知。

密碼學工程師與研究員 Filippo Valsorda 表示這看起來似乎很糟糕，不過，他們還不清楚利用這些漏洞的難易程度：

「可能將有大範圍的機器受到影響，不僅限於伺服器。對此，英特爾似乎深感擔憂，不但發布了檢測工具，並且對發布版本做了精心策劃。」

而好消息則是大部分的漏洞需要利用本地的訪問許可權；且必須有人接觸到設備或者深入網路。

但是，英特爾提醒道，如果攻擊者擁有管理許可權的話，則可以遠程利用一些新的漏洞。而且一些漏洞還可能允許特權升級，這可能會使得攻擊者以標準用戶狀態為起始點逐漸擁有更高級別的網路訪問權。

「僅根據公開的信息，我們還無法得知這些漏洞造成了多嚴重的後果。可能沒有危害，但也可能十分嚴重，」當漏洞首次被公布時，谷歌的安全研究員 Matthew Garrett 在推特上寫到。

但是他很快補充說，「仔細想想，有很多結果我沒注意到，這也可能沒有危害。」

ME 漏洞所造成的負面影響需要一定的時間才能顯現出來，但是對於多年來已經警告過 ME 危險性的研究員來說，英特爾的補救措施似乎沒有帶來多少安慰。

再來看 Uber 惹上的麻煩，這樁醜聞或許會讓最近形式略有好轉的Uber再次深陷泥潭：

「黑客竊取了 Uber 公司中 5700 萬客戶和司機的個人數據」，而這條信息，是 Uber 隱藏了超過一年的違規行為，也在今天被正式向全球披露。

就在本周一，Uber 公司開除了其首席安全員和他的一位副手。因為他們竟然對黑客的行為保持緘默，並向網路黑客支付了 10 萬美元的款項。

Uber 於周二告訴彭博社，2016 年 10 月針對公司的一次網路攻擊泄露了全球將近 5000 萬名 Uber 司機的數據，包括姓名、郵箱和電話號碼。

另外，有約 700 萬司機的個人信息也被訪問，其中包括大約 60 萬美國司機的駕照號碼。

但是 Uber 強調，這次攻擊並沒有泄露社會保障號、信用卡信息和行程細節等數據。

在 1 年前的事故發生時，Uber 曾與美國監管機構就涉及隱私侵犯的單獨指控進行談判。Uber 的說法是，公司本有法律責任舉報黑客，並告知那些信息已經泄露的司機。然而，公司卻曾經付費讓黑客刪除數據並使其保持沉默。

Uber 這樣補充：公司相信黑客沒有使用這些信息，但拒絕透露攻擊者的身份。

「這些事本不該發生，我也不會為它找任何借口。」在今年 9 月份接任首席執行官的 Dara Khosrowshahi 在一份電子郵件的聲明中這樣說道，「我們正在改變做生意的方式。」

這個「秘密」在周二被披露後，紐約總檢察長 Eric Schneiderman 發言人 Amy Spitalnick 表示，將對這起黑客事件展開調查。

醜聞內幕曝光，Uber 高層發生變動

近年來，黑客已經成功滲透到眾多科技公司內部。儘管 Uber 的這起醜聞很嚴重，但比起 Yahoo、Myspace、Target、Anthem 和 Equifax 曾經發生的數據泄露與安全事件，也算是小巫見大巫。

不過令人震驚的是，Uber 採取了的措施過於極端——向外界隱瞞黑客攻擊的事實。這起事件應該是 Khosrowshahi 接任首席執行官以來爆出的最新醜聞。

公司聲稱，Uber 聯合創始人兼前首席執行官 Kalanick 在 2016 年 11 月，即黑客竊取數據後一個月，就獲悉此次攻擊行為。而今天消息曝光後，Kalanick 拒絕對黑客事件發表評論。

（前 Uber 創始人兼首席執行官 Kalanick 因各種醜聞被迫下台）

而當下，Uber 的補救措施則是剛剛對就數據安全披露問題向紐約總檢察長提起訴訟，並正在就處理消費者數據的問題與聯邦貿易委員會進行談判。

一位發言人向彭博社透露，即將離職的安全主管 Joe Sullivan 帶頭回應了去年的這起黑客攻擊事件。

Sullivan 曾經是一位聯邦檢察官，他於 2015 年從 Facebook 公司離職並加入 Uber，此後便一直是 Uber 決策層的中心人物。

但沒想到，他卻讓 Uber 栽了跟頭。彭博社上個月報道說，董事會已經對 Sullivan 安全團隊的行動進行了調查。公司表示，在這個由外部律師事務所調查的項目中，他們發現了黑客攻擊事件與一些從未披露的信息。

而以下就是黑客攻擊的具體細節：

兩名攻擊者訪問了 Uber 軟體工程師的私人 Github 站點並拿到了登錄授權，隨後獲取了儲存在 Amazon Web Services 賬戶中的數據。該賬戶被用於處理公司計算任務。

在那裡面，黑客們發現了乘客與司機的信息檔案。據 Uber 透露，黑客就此通過電子郵件向 Uber 勒索錢款。

根據美國各州及聯邦的法律，公司在用戶敏感信息泄露時，應及時向民眾與政府機構發出警告。顯然，Uber 有義務報告黑客的這起攻擊與 5700 萬數據被盜的事實，但公司卻沒有這樣做。

現任 CEO Khosrowshahi 再次強調：「事件發生時，我們立即採取了措施保護數據，並且進一步關閉了未經授權的私人訪問。同時，我們還採取了安全措施，以限制雲存儲訪問，同時加強對雲存儲的管理。」

魯莽與不堪的歷史

自從 2009 年 Uber 成立以來，公司一度蔑視業務所在地區的法律，因此聲譽逐漸變差。

熟悉相關事件的人說，美國至少對於 Uber 可能存在的賄賂、開發非法軟體、可疑的定價方案以及盜竊競爭對手知識產權等問題進行了五次刑事調查；同時，這家獨角也面臨著數十起民事訴訟。

事實上，由於 Uber 的各種魯莽行為，倫敦等地的政府已經採取措施關停了公司在當地的乘車服務。

2016 年 1 月，紐約總檢察長曾向 Uber 處以 2 萬美元罰款，原因是未能及時披露 2014 年早些時候發生的數據泄露事件。

而在去年網路攻擊事件之後，Uber 表示，公司在跟黑客進行「討價還價」的同時，也同時曾與聯邦貿易委員會就一項隱私協議進行談判，並在 3 個月前最終同意了聯邦貿易委員會的和解協議。

但那時他們並沒有承認錯誤，也沒有告知去年的黑客攻擊事件。

Khosrowshahi 上任後說過，他的目標是改變 Uber 的運營方式。本周二，在他的主持下，公司首次向紐約總檢察長和聯邦貿易委員會通報了這一事件。

同時，這位新任首席執行官提出讓 Sullivan 辭職，並且解僱了向 Sullivan 彙報工作的高級律師 Craig Clark。兩人對這此均未立即置評。

Khosrowshahi 在其郵件聲明中表示：「我無法掩蓋過去。我謹代表公司的每一位員工，保證從我們的錯誤中學習。」

Uber 表示，已經聘請國家安全局前首席法律顧問兼國家反恐中心主任 Matt Olsen 擔任公司的安全顧問，他將幫助團隊重建安全小組。

此外，Uber 也聘請了 FireEye 旗下的網路安全公司 Mandiant 調查這起黑客事件。

Uber 計劃向客戶發放聲明，強調「並無證據表明攻擊事件中的數據被濫用」。他們還表示，會為遭到信息泄露的司機提供免費的信用保護監控與身份盜竊保護。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！