Il y a quelques jours, on a appris qu'Uber avait été victime d'un piratage majeur. On soupçonne même que les attaquants ont capturé une liste de vulnérabilités à partir d'un programme de primes de bogues. Uber, le fournisseur de services de voyage, a maintenant confirmé que l'attaquant est le groupe Lapsus$.
En premier Rapport sur le piratage d'Uber, beaucoup de choses n'étaient pas encore claires. Selon le fournisseur de services de conduite Uber, les processus peuvent désormais être décrits et définis avec précision quelles données ont été volées. Voici ce qui s'est passé, selon Uber : "Le compte d'un sous-traitant Uber EXT a été compromis par un attaquant utilisant un logiciel malveillant et ses informations d'identification ont été volées. Il est probable que l'attaquant ait acheté le mot de passe de l'entreprise Uber de l'entrepreneur sur le dark web. L'attaquant a ensuite tenté à plusieurs reprises de se connecter au compte Uber de l'entrepreneur. À chaque fois, l'entrepreneur a reçu une demande d'autorisation de connexion à deux facteurs, qui bloquait initialement l'accès. Finalement, cependant, l'entrepreneur en a accepté un et l'attaquant s'est connecté avec succès." C'est ce qu'on appelle le bombardement MFA classique.
Une fois connecté, l'attaquant a accédé à plusieurs autres comptes d'employés, ce qui a finalement donné à l'attaquant des privilèges élevés sur une gamme d'outils, notamment G-Suite et Slack. L'attaquant a ensuite envoyé un message à un canal Slack à l'échelle de l'entreprise et a reconfiguré l'OpenDNS d'Uber pour montrer aux employés une image graphique sur certains sites Web internes.
Comment Uber a-t-il réagi ?
Uber déclare : « Nos processus de surveillance de la sécurité existants ont permis à nos équipes d'identifier et de résoudre rapidement le problème. Notre priorité absolue était de nous assurer que l'attaquant n'avait plus accès à nos systèmes ; pour s'assurer que les données des utilisateurs sont sécurisées et que les services Uber ne sont pas compromis ; puis d'enquêter sur l'ampleur et l'impact de l'incident."
Voici les principales actions qu'Uber prétend avoir prises :
- Il a identifié tous les comptes d'employés compromis ou potentiellement compromis et a bloqué leur accès aux systèmes Uber ou a nécessité une réinitialisation du mot de passe.
- De nombreux outils internes concernés ou potentiellement concernés ont été désactivés.
- Les clés de nombreux services internes ont été alternées (ce qui a pour effet de réinitialiser l'accès).
- Codebase a été verrouillé pour empêcher de nouveaux changements de code.
- Le rétablissement de l'accès aux outils internes a obligé les employés à se réauthentifier. De plus, les lignes directrices pour l'authentification multifacteur (MFA) ont été renforcées.
- Ajout d'une surveillance supplémentaire de l'environnement interne pour garder un œil encore plus attentif sur d'autres activités suspectes.
Quel a été l'impact ?
Uber affirme avoir tout sous contrôle : "L'attaquant a accédé à plusieurs systèmes internes et notre enquête s'est concentrée sur la détermination de l'impact matériel. Bien que l'enquête soit toujours en cours, nous avons quelques détails sur nos découvertes actuelles à partager. Tout d'abord, nous n'avons pas vu que l'attaquant avait accédé aux systèmes de production exécutant nos applications. Tous les comptes d'utilisateurs ; ou les bases de données que nous utilisons pour stocker des informations sensibles sur les utilisateurs, telles que les numéros de carte de crédit, les informations de compte bancaire de l'utilisateur ou l'historique de ses voyages. Nous chiffrons également les informations de carte de crédit et les informations personnelles sur la santé, offrant une autre couche de protection.
Nous avons vérifié notre base de code et n'avons trouvé aucune modification apportée par l'attaquant. Nous n'avons pas non plus déterminé que l'attaquant avait accédé aux données client ou utilisateur stockées chez nos fournisseurs de cloud (par exemple, AWS S3). Il semble que l'attaquant ait téléchargé certains messages internes de Slack et récupéré ou téléchargé des informations à partir d'un outil interne que notre équipe financière utilise pour gérer certaines factures. Nous analysons actuellement ces téléchargements.
Les rapports de vulnérabilité ont-ils été volés ?
Selon Uber, ce danger devrait être banni « L'attaquant a pu accéder à notre tableau de bord chez HackerOne, où les chercheurs en sécurité signalent des erreurs et des vulnérabilités. Cependant, tous les rapports de bogues auxquels l'attaquant pouvait accéder ont été corrigés. Pendant tout ce temps, nous avons pu assurer le bon fonctionnement de tous nos services Uber, Uber Eats et Uber Freight destinés au public. Comme nous avons fermé certains outils internes, les opérations du service client ont été peu impactées et sont maintenant revenues à la normale.
Uber pense qu'il s'agit d'une attaque Lapsus$
Bien qu'il n'y ait pas encore de preuves définitives, Uber pense que l'attaque était une attaque Lapsus $. « Nous pensons que cet attaquant (ou ces attaquants) est connecté à un groupe de piratage appelé Lapsus$, qui est devenu de plus en plus actif au cours de la dernière année. Ce groupe utilise généralement des techniques similaires pour attaquer les entreprises technologiques et a violé Microsoft, Cisco, Samsung, Nvidia et Okta, entre autres, rien qu'en 2022. Il y a également eu des rapports au cours du week-end selon lesquels le même acteur aurait attaqué le fabricant de jeux vidéo Rockstar Games. Nous sommes en étroite coordination avec le FBI et le ministère américain de la Justice sur cette question et nous continuerons à soutenir leurs efforts."
Que fait Uber maintenant ?
Uber veut continuer à évaluer les données médico-légales et utilise beaucoup d'expertise pour le faire. En outre, Uber souhaite tirer les leçons de l'attaque et travailler sur des politiques, des pratiques et des technologies pour renforcer les défenses et se protéger contre de futures attaques.
Plus sur Uber.com