Le fournisseur de services de transport Uber a subi une cyberattaque au cours de laquelle un pirate présumé de 18 ans a téléchargé des rapports de vulnérabilité de HackerOne et partagé des captures d'écran des systèmes internes de l'entreprise, du tableau de bord de messagerie et du serveur Slack.
Les captures d'écran partagées par le pirate semblent montrer un accès complet à de nombreux systèmes informatiques critiques d'Uber, y compris le logiciel de sécurité de l'entreprise et le domaine Windows.
L'attaquant d'Uber avait un accès complet
L'attaquant a également piraté le serveur Uber Slack, qu'il utilisait pour envoyer des messages aux employés disant que l'entreprise avait été piratée. Cependant, des captures d'écran d'Uber's Slack montrent que ces annonces ont d'abord été accueillies par des mèmes et des blagues, car les employés ignoraient qu'une véritable cyberattaque était en cours.
Selon saignement informatique, Uber a depuis confirmé l'attaque et tweeté qu'ils sont en contact avec les forces de l'ordre et publieront des informations supplémentaires dès qu'elles seront disponibles. « Nous répondons actuellement à un incident de cybersécurité. Nous sommes en contact avec les forces de l'ordre et publierons d'autres mises à jour ici dès qu'elles seront disponibles", a tweeté le compte Uber Communications.
Pas de déclaration officielle d'Uber
Ian McShane, vice-président de la stratégie d'Arctic Wolf, déclare à propos du piratage d'Uber : "Bien qu'il n'y ait pas encore de déclaration officielle, une personne qui a revendiqué la responsabilité de la cyberattaque déclare que l'accès initial a été socialement conçu par un employé d'Uber sans méfiance a été contacté par lui, il s'est fait passer pour le support technique et a réinitialisé le mot de passe. L'attaquant a ensuite pu se connecter au VPN de l'entreprise pour obtenir un accès supplémentaire au réseau Uber. Ce faisant, il semble avoir trouvé de l'or sous la forme d'informations d'identification d'administrateur stockées en texte clair sur un partage réseau.
La barrière à l'entrée pour cette attaque s'est avérée assez faible. L'attaque est similaire à celle dans laquelle les attaquants se sont fait passer pour des employés de MSFT et ont incité les utilisateurs finaux à installer des enregistreurs de frappe ou des outils d'accès à distance. Compte tenu de l'accès qu'ils prétendent avoir obtenu, je suis surpris que l'attaquant n'ait pas tenté d'extorquer une rançon. On dirait que c'était juste un acte "amusant"."
Accès au programme bug bounty ?
Il n'y a actuellement aucune explication précise de l'attaque. Divers médias rapportent que le compte Uber était protégé par une authentification multifacteur. L'attaquant aurait utilisé une attaque de fatigue MFA et prétendu être le support informatique d'Uber pour convaincre l'employé d'accepter la demande MFA. Selon le New York Times, le pirate informatique aurait eu accès aux bases de données et au code source d'Uber à la suite de l'attaque.
Le pire de tout est l'hypothèse selon laquelle l'attaquant aurait copié le système de tickets et donc les rapports de vulnérabilité du programme de primes de bogues. Si cela était vrai, Uber devrait s'attendre à une nouvelle attaque à tout moment et combler les lacunes trouvées extrêmement rapidement. Car l'attaquant peut rapidement transformer ces informations en argent sur le Darknet. Les experts sont probablement déjà à la recherche d'offres adaptées.
Plus sur saignementordinateur.com