Crédit : Dreamstime
Uber a lié sa cyberattaque actuelle à un acteur (ou des acteurs ) lié au célèbre groupe de menaces LAPSUS$, responsable de la violation de Microsoft, Cisco, Samsung, Nvidia et Okta cette année. La déclaration est intervenue alors que le géant du covoiturage continue d’examiner une violation d’informations sur le réseau qui a eu lieu le jeudi 15 septembre.
Aggressor a obtenu des approbations élevées pour les outils comprenant G-Suite et Slack
Dans une mise à jour de sécurité publiée le lundi 19 septembre, Uber a écrit : « Un sous-traitant Uber EXT a vu son compte compromis par un ennemi. Il est probable que l’agresseur a acheté le mot de passe d’entreprise Uber du spécialiste sur le dark web, après que l’appareil personnel du professionnel ait été infecté par un logiciel malveillant, exposant ces informations d’identification.
» L’ennemi puis a systématiquement tenté de se rendre sur le compte Uber du spécialiste. » À chaque fois, le sous-traitant a reçu une demande d’approbation de connexion à deux facteurs, qui a initialement entravé l’accès à, notamment.
« En fin de compte, cependant, le spécialiste accepté un, et l’adversaire a effectivement visité. » De là, l’agresseur a accédé à de nombreux autres emplois yee, qui a finalement offert à l’adversaire des approbations accrues pour les outils, comprenant G-Suite et Slack.
» L’ennemi a ensuite publié un message sur un canal Slack à l’échelle de l’entreprise et a reconfiguré l’OpenDNS d’Uber pour afficher un graphique image aux membres du personnel sur certains sites internes.
L’action d’Uber consiste en une rotation et une réauthentification cruciales
Détaillant sa réaction, Uber a déclaré que ses procédures de surveillance de la sécurité a permis à ses groupes d’identifier rapidement le problème.
« Nos principales priorités étaient de nous assurer que l’agresseur n’avait plus accès à nos systèmes, de garantir que les données des utilisateurs étaient sécurisées et que les services Uber n’étaient pas affectés, puis d’enquêter sur la portée et l’effet de l’attaque événement », écrit-il. Selon l’entreprise, ses actions comprenaient :
- Identifier les comptes des membres du personnel qui ont été compromis ou potentiellement compromis, obstruant leur accès aux systèmes Uber ou nécessitant une réinitialisation du mot de passe.
- Désactivez les outils internes concernés ou potentiellement concernés.
- Transmettez les secrets (réinitialisation efficace de l’accès) aux services internes.
- Exigez que les employés se ré-authentifient et renforcent encore plus l’authentification multifacteur (MFA) politiques.
- Inclure plus de suivi de l’environnement interne.
Données utilisateur sensibles, les comptes semblent rester protégés
Uber a assuré aux utilisateurs que, bien que l’agresseur ait accédé à plusieurs de ses systèmes internes, ses examens n’ont (jusqu’à présent) pas révélé d’accès non autorisé aux systèmes de production (c’est-à-dire accessibles au public) qui alimentent ses applications, les comptes d’utilisateurs ou le bases de données qu’il utilise pour conserver les informations sensibles des utilisateurs telles que les numéros de carte de crédit, les détails du compte d’épargne de l’utilisateur ou le journal ey history.
« Nous sécurisons également les informations de carte de paiement et les informations de santé personnelles, fournissant une couche de défense supplémentaire », a-t-il précisé.
Uber a également déclaré qu’il avait revu sa base de code et avait n’ont pas découvert que l’ennemi avait apporté des modifications, et n’ont pas non plus accédé aux données des clients ou des utilisateurs enregistrées par leurs fournisseurs de cloud.
« Il semble que l’agresseur ait téléchargé des messages internes à Slack, en plus d’avoir consulté ou téléchargé des informations à partir d’un outil interne que notre équipe de financement utilise pour gérer certaines factures. Nous analysons actuellement ces téléchargements », a-t-il écrit. .
« L’agresseur avait la possibilité d’accéder à notre tableau de bord sur HackerOne, où les scientifiques de la sécurité signalent des bogues et des vulnérabilités. Néanmoins, tout bogue signale que l’attaquant a pu accéder pour avoir été corrigé. »
Uber a déclaré qu’il travaillait avec un certain nombre de sociétés de criminalistique numérique de premier plan dans le cadre de l’examen et qu’il était en étroite coordination avec le FBI et le ministère américain de la Justice sur cette question.
Toute l’actualité en temps réel, est sur L’Entrepreneur
