Secure Code Warrior 我们致力于帮助教育安全和开发人员社区如何安全地编写代码，以及减少通过不安全的代码引入漏洞的风险。作为这个目标的一部分，我们将利用Uber最近的安全事件 的发展故事作为一个机会来讨论开发者驱动的安全和左移的重要性。

Uber发生的安全事件

Uber在9月16日发布了一份关于网络安全事件的声明，他们还在继续更新。读者应该记住，这是一个正在进行的故事。让我们回顾一下我们通过Uber迄今为止的声明和安全社区的其他知名帖子所了解到的情况。 

黑客在找到一名Uber员工的What'sApp号码后，首先对其进行了社会工程。攻击者与他们联系，并通过让毫无戒心的员工登录一个假的Uber网站，然后获取他们的用户名和密码，开始钓鱼式地获取凭证。 

Uber账户通过多因素认证（MFA）进行保护，这意味着除了提交密码外，用户必须出示第二份证据来确认其身份。在大多数情况下，这是向移动设备发送的提示。 

在获得凭证后，攻击者发起了MFA疲劳攻击，不断尝试登录真正的Uber网站，并在员工的设备上发出大量推送通知，使其不堪重负。攻击者再次通过WhatsApp与受害者联系。据称，这一次他们假装是IT支持，并成功说服他们接受。

硬编码的凭证

Uber的安全漏洞的基础是一次成功的网络钓鱼攻击。一旦进入，入侵者发现了包含PowerShell脚本的网络共享。其中一个脚本包含一个管理员用户的硬编码凭证，这导致了Uber内部服务的泄露，如AWS、G-Suite和代码库。黑客还进入了Uber的HackerOne账户。然而，根据Uber的说法，"攻击者能够访问的任何错误报告都已经得到补救"。

好奇地想看看这个漏洞在代码中是什么样子的？免费尝试一下我们的PowerShell挑战。

这些类型的攻击有多常见？

社会工程作为一种攻击媒介是很难防御的，因为人的因素一直被认为是网络安全最薄弱的部分。Uber黑客事件清楚地表明，MFA的实施很容易被规避。防止这种情况的关键是在员工中建立更多关于网络钓鱼攻击的工作原理的意识。 

然而，导致Uber内部服务暴露的原因是在PowerShell脚本中发现了管理员的用户名和密码。硬编码凭证从来都不是一件好事，因为它们可以被任何开发人员，以及基本上可以访问代码的任何人阅读。 

但还是那句话，意识是关键!具有以安全为中心的思想的开发人员更有可能发现漏洞，也更不可能编写漏洞。

一个双管齐下的方法，即关于社会工程的一般教育，以及更具体的，积极主动的安全编码培训，将减少代码库中的漏洞数量，因此被证明是对抗安全威胁的关键。

想了解更多关于保持最新的安全编码最佳实践的信息？请查看安全代码教练。在这里，你可以免费学习安全编码准则和尝试培训练习。