Uber a effectivement vérifié que la violation actuelle de ses systèmes a commencé avec un compte compromis appartenant à un professionnel.
« Il est fort probable que l’attaquant ait acheté le mot de passe professionnel Uber du spécialiste sur le dark web, après que l’appareil personnel de l’entrepreneur ait été infecté par un logiciel malveillant, exposant ces informations d’identification », a déclaré la société.
Qui est derrière la violation d’Uber ?
La violation a eu lieu jeudi dernier (15 septembre) et avait été déclarée par un pirate qui prétend avoir 18 ans.
Uber n’a pas expliqué pourquoi, mais a déclaré qu’il pensait que cet agresseur (ou ces agresseurs) était lié au Lapsus. $ hacking group.
« Ce groupe utilise généralement des techniques similaires pour cibler les entreprises technologiques et, rien qu’en 2022, a en fait violé Microsoft, Cisco, Samsung, Nvidia et Okta, pour n’en nommer que quelques-uns. Il existe également des rapports sur le week-end où cette même star a violé le fabricant de jeux informatiques Rockstar Games. »
La techni dont ils parlent incluent bombarder les travailleurs avec un volume élevé de demandes d’approbation de connexion à deux facteurs et compter sur la « fatigue MFA » pour qu’une soit finalement acceptée.
Ce qui a été et n’a pas été consulté
Lorsque le spécialiste Uber a finalement accepté la demande, l’agresseur s’est connecté à son compte et, à partir de là, « l’agresseur a accédé à de nombreux autres comptes d’employés qui ont finalement fourni à l’attaquant des consentements élevés à un certain nombre d’outils, dont G-Suite et Slack . »
L’attaquant a également publié un message sur un canal Slack à l’échelle de l’entreprise et a reconfiguré OpenDNS d’Uber pour afficher une image graphique aux travailleurs sur certains sites Web internes, a ajouté Uber.
L’entreprise a marqué un certain nombre d’actions qu’ils ont prises pour chasser l’intrus et l’empêcher d’entrer, consistant à renforcer les politiques MFA.
Uber déclare n’avoir jusqu’à présent découvert aucune preuve que l’agresseur ait accédé à des systèmes publics alimentant ses applications, ses comptes d’utilisateurs ou ses bases de données (sur site ou dans le cloud grand public) ; ni que l’agresseur a apporté des modifications à sa base de code.
« Il semble que l’agresseur ait téléchargé des messages internes de Slack, ainsi qu’accédé à ou téléchargé des informations à partir d’un outil interne que notre équipe financière utilise pour gérer certaines facturations, » ont-ils admis, et ont ajouté que, bien que l’ennemi ait accès à leur tableau de bord sur HackerOne, « tous les rapports de bogues auxquels l’ennemi a pu accéder ont été corrigés. »
Toute l’actualité en temps réel, est sur L’Entrepreneur
