Dans une mise à jour de l’attaque, Uber précise qu’un membre du personnel distant s’est avéré être le vecteur d’attaque. Le cybercriminel a probablement acquis les identifiants de connexion du travailleur via le dark web. Les informations d’identification ont finalement été utilisées pour accéder aux systèmes internes.
Après de nombreuses tentatives initiales, le cybercriminel a fait l’expérience d’une authentification à deux facteurs. Néanmoins, un professionnel d’Uber a approuvé une autorisation unique, permettant au pirate de pénétrer dans le réseau.
Suivi
Le cybercriminel a continué d’avoir accès à plusieurs comptes d’employés Uber autorisés à utiliser des outils de partenariat, comprenant G Suite et Slack. L’opposant a publié une déclaration sur un canal Slack et a modifié l’OpenDNS de l’entreprise pour afficher un message graphique aux employés sur les systèmes internes.
Uber précise explicitement qu’aucune donnée utilisateur n’a été prise dans l’attaque. Le pirate n’a pas accédé aux bases de données délicates des informations de carte de paiement, des coordonnées bancaires et des journaux de trajet.
Lapsus$
Uber a déclaré qu’il était en mesure de confirmer l’identité de l’attaquant. Le cybercriminel est censé courir sous le nom de « teapotuberhacker ». Le pirate informatique serait affilié au tristement célèbre groupe Lapsus$, qui est tenu responsable des attaques contre Okta, Nvidia, Cisco, Samsung et Microsoft plus tôt cette année.
Uber déclare avoir depuis pris diverses mesures de mesures pour éviter une répétition de la cyberattaque. Il travaille également en étroite collaboration avec des sociétés de sécurité et des sociétés judiciaires américaines pour retrouver les auteurs.
Toute l’actualité en temps réel, est sur L’Entrepreneur
