jeudi, 28 mars 2024

Sécurité « affreuse » et « faible » : qu’est-ce que la brèche massive chez Uber a révélé ?

  • Uber a été piraté la semaine dernière et une personne revendiquant la responsabilité de la violation a envoyé des images d’e-mails, de stockage dans le cloud et de référentiels de code pour montrer qu’il y avait accès.
  • Le pirate a piraté le compte Slack d’un employé et l’a utilisé pour envoyer un message aux membres du personnel.
La cyberattaque éclair à venir – et comment l’endurer

En 2016, Uber a subi une énorme violation d’informations : un pirate informatique a volé les informations de 57 millions d’automobilistes et de passagers, a approché le géant du covoiturage et a exigé 100 000 USD en rançon pour supprimer leur copie du coffre d’informations volées. Uber a vraiment effectué le paiement mais a gardé la brèche secrète pendant plus d’un an. Six ans plus tard, une autre violation de données s’est réellement abattue sur Uber et cette fois, la violation a été rendue publique presque immédiatement.

Le piratage qui s’est produit la semaine dernière concernait les systèmes de communication et d’ingénierie internes du géant de la messagerie électronique, les laissant hors ligne pendant les enquêtes. Dans un rapport du New York Times (NYT), l’ingénieur en sécurité du Yuga Laboratory, Sam Curry, qui a référé la personne qui a déclaré être responsable de la violation, a déclaré : « Ils ont à peu près un accès complet à Uber. C’est un compromis total, d’après ce à quoi il ressemble. »

Pour le contexte, la personne qui a déclaré l’obligation pour le piratage a envoyé NYT et d’autres scientifiques de la cybersécurité, des images d’e- mail, stockage cloud et référentiels de code d’Uber. De toute évidence, les employés d’Uber ont reçu pour instruction de ne pas utiliser le Slack interne de l’entreprise, et ils ont constaté que d’autres systèmes internes étaient également inaccessibles. Uber s’est également rendu sur pour partager qu’il « réagissait à un incident de cybersécurité ».

@Uber Uber a été piraté. @Hacker0x01 pic..com/ltwjZdzFfV

— terrydavis_is_god (@praise_terryd) 16 septembre 2022

« Nous n’avons aucune preuve que l’incident impliquait l’accès à des informations sensibles sur l’utilisateur (comme l’historique des trajets) », a écrit la société dans une déclaration à la suite de l’événement. Sur la base d’un rapport de panne d’électricité interne jeudi dernier, les passagers et les clients de l’expédition de nourriture n’avaient en fait pas été en mesure d’exiger des trajets ou des commandes de localisation dans des régions telles qu’Atlanta, en Géorgie, et Brisbane, en Australie, bien qu’Uber ait déclaré plus tard que le problème était « réduit ».

Individuellement, dans un e-mail interne qui a été vu par le NYT, un dirigeant d’Uber a déclaré aux membres du personnel que le piratage faisait l’objet d’une enquête. « Nous n’avons pas d’estimation pour le moment quant au moment où l’accès complet aux outils sera rétabli, alors merci de votre patience », a écrit Latha Maripuri, responsable de la sécurité des détails d’Uber.

Un réseau social bien planifié violation d’ingénierie contre Uber

La personne qui a revendiqué la responsabilité du piratage a informé le NYTqu’il avait en fait envoyé un SMS à un employé d’Uber prétendant être un membre du service informatique de l’entreprise. L’employé a ensuite été convaincu de remettre un mot de passe permettant au pirate d’accéder aux systèmes d’Uber – un exemple classique d’ingénierie sociale.

Une fois que le pirate a compromis le compte Slack d’un employé et l’a utilisé pour envoyer le message, il semble avoir pu accéder à d’autres systèmes internes, en publiant une image spécifique sur une page d’information interne pour les travailleurs. Cela est devenu plus fascinant lorsque le pirate informatique a déclaré qu’il avait 18 ans et qu’il s’occupait de ses compétences en cybersécurité depuis plusieurs années.

Honnêtement, une sorte de méthode élégante pour pirater quelqu’un @Uber pic..com/fFUA5xb3wv

— Colton (@ColtonSeal) 16 septembre 2022

Il a même dit qu’il avait pénétré par effraction dans les systèmes d’Uber parce que la sécurité de l’entreprise était faible. Dans le message Slack qui annonçait la violation, la personne a également déclaré que les chauffeurs Uber devaient recevoir un salaire plus élevé. Le pirate informatique semblait avoir accès au code source d’Uber, aux e-mails et à d’autres systèmes internes, a déclaré Curry au NYT. « Il semble que ce soit peut-être ce gamin qui est entré dans Uber et ne sait pas quoi en faire, et qui s’amuse comme un fou », a-t-il ajouté.

En plus de tout cela, le Le pirate informatique a également posté sous le nom d’Uber sur un forum de discussion en ligne sur HackerOne, qui crée des interférences entre les chercheurs qui signalent des vulnérabilités de sécurité et les entreprises concernées. Uber et d’autres entreprises utilisent ce service pour gérer les signalements de failles de sécurité dans ses systèmes et pour récompenser les scientifiques qui les découvrent.

CIO

Le Uber Tapes : une violation de données peut-elle être éthique ?

Ce chat, vu par The Washington Post, montre que le supposé pirate informatique a déclaré l’accès au compte Amazon Web Provider d’Uber. Dans une interview ultérieure sur une application de messagerie, le pirate informatique présumé a informé The Post qu’il avait violé l’entreprise pour le plaisir et qu’il pourrait divulguer le code source « dans quelques mois ». L’individu a qualifié la sécurité d’Uber de « terrible ».

Lorsqu’il a été interrogé sur tout problème d’arrestation, le pirate informatique présumé a déclaré à The Post via un compte Telegram qu’il n’était pas inquiet parce qu’il vivait à l’extérieur les États Unis. Un autre chercheur, Corbin Leo, qui s’est entretenu avec le pirate informatique en ligne, a déclaré : « C’était vraiment mauvais d’avoir accès à ce qu’il avait. C’est horrible », [sic] selon le rapport de NPR.

Des captures d’écran publiées par le cambrioleur ont montré qu’il avait accédé à des systèmes hébergés sur des serveurs basés sur le cloud d’Amazon et de où Uber stocke le code source, des informations financières et des informations sur les clients telles que les permis de conduire. Pour mettre en contexte la gravité de la situation, Leo, chercheur et responsable de l’avancement de l’entreprise à la société de sécurité Zellic, a déclaré: « S’il avait des secrets sur le royaume, il pourrait commencer à arrêter les services. Il pourrait effacer des choses. Il pourrait télécharger des informations sur les clients, modifier les mots de passe des personnes. »

Uber reprend sans qu’aucune information sensible ne soit divulguée – affirmation

Un jour après le piratage présumé de vendredi, Uber a déclaré que tous ses services étaient opérationnels sans aucune preuve que pirate a eu accès à des données utilisateur sensibles. Dans une déclaration publiée en ligne, Uber a rappelé que « les outils logiciels internes que nous avons supprimés à titre préventif hier sont de retour en ligne ». Il a déclaré que tous ses services – consistant en Uber Eats et Uber Freight – étaient à nouveau fonctionnels.

Lors de la violation de 2016, y compris les 57 millions de passagers et de chauffeurs d’Uber, les 2 pirates ont pris des numéros de téléphone, des adresses e-mail et les noms d’un serveur tiers avant d’exiger leur prime de 100 000 $ US demandée. Uber a répondu en appelant les pirates, a payé et a signé des accords de non-divulgation, selon les personnes au courant de l’affaire.

Pour masquer les atteintes à la réputation, les dirigeants d’Uber ont donné l’impression que le paiement faisait en fait partie d’une « prime aux bogues » – une pratique courante parmi les entreprises d’innovation dans laquelle elles paient des pirates pour attaquer leurs systèmes et payer pour les vulnérabilités trouvées. Ce qui est délégué à voir maintenant, c’est la gravité du piratage cette fois-ci, bien qu’actuellement, aucune « donnée sensible » n’ait été divulguée, selon Uber. Finalement, le temps nous informera.

** Mise à jour : Uber relie la violation au groupe Lapsus$

Plus tôt dans la journée, Uber, dans un message, a blâmé le Lapsus$ groupe d’extorsion pour l’infraction de la semaine dernière. « Un professionnel Uber EXT a vu son compte compromis par un attaquant. Il est probable que l’agresseur ait acquis le mot de passe professionnel Uber du spécialiste sur le dark web, après que l’appareil personnel du professionnel ait été infecté par un logiciel malveillant, exposant ces qualifications », a-t-il déclaré. /p>

Le groupe de piratage aurait accédé à plusieurs systèmes internes d’Uber après avoir volé les informations d’identification d’un professionnel tiers et après avoir convaincu le spécialiste d’approuver une demande d’authentification à deux facteurs. Les conclusions, selon Uber, sont basées sur une étroite coordination avec le FBI et le ministère américain de la Justice. Pour rappel, le groupe d’extorsion de dollars Lapsus est connu pour avoir violé d’autres sociétés technologiques de premier plan telles que Microsoft, Cisco, NVIDIA, Samsung et Okta.

Bien que les attaquants aient en fait accédé à plusieurs systèmes internes, Uber a déclaré que ce n’était pas le cas. semblent avoir pénétré des systèmes publics, des comptes d’utilisateurs ou des bases de données qui stockent des informations sensibles sur les utilisateurs, telles que des numéros de carte de crédit. De plus, Uber a déclaré qu’il ne semble pas que les ennemis aient accédé aux données des clients ou des utilisateurs conservées par ses fournisseurs de cloud.

« L’agresseur a accédé à plusieurs systèmes internes, et notre enquête s’est en fait concentrée sur l’identification d’un éventuel impact matériel. Bien que l’enquête soit toujours en cours, nous avons quelques détails sur nos découvertes actuelles que nous pouvons partager. « , a noté Uber.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici