Uber reconnat avoir t victime d’un incident de cyberscurit ayant permis un hacker d’accder aux systmes internes de l’entreprise, incluant le domaine Windows et son serveur de messagerie Slack. Le pirate informatique prsum, qui prtend tre g de 18 ans, affirme avoir un accs administrateur aux outils de l’entreprise, notamment Amazon Web Services et Google Cloud Platform. Le hacker a publi jeudi des captures d’cran de ses exploits prsums sur Telegram et a mme annonc le piratage dans les canaux internes Slack d’Uber ce soir-l, ce qui a apparemment amen certains employs penser que c’tait une blague. L’entreprise de covoiturage a mis plusieurs systmes internes, y compris Slack, hors ligne pendant qu’elle enqutait sur la violation.
Pour le moment, il n’est pas clair si les donnes des clients ont t exposes dans l’attaque qui semble rsulter de l’extraction des mots de passe d’un employ via l’ingnierie sociale.
Un hacker, prtendument g de 18 ans, a tlcharg des rapports de vulnrabilit HackerOne et partageant des captures d’cran des systmes internes de l’entreprise, du tableau de bord de messagerie et du serveur Slack. Les captures d’cran partages par le hacker montrent ce qui semble tre un accs complet de nombreux systmes informatiques critiques d’Uber, y compris le logiciel de scurit de l’entreprise et le domaine Windows.
Les autres systmes auxquels le pirate a accs incluent la console Amazon Web Services de l’entreprise, les machines virtuelles VMware vSphere/ESXi et le tableau de bord d’administration Google Workspace pour la gestion des comptes de messagerie Uber.
L’auteur de la menace a galement pirat le serveur Uber Slack, qu’il a utilis pour envoyer des messages aux employs indiquant que l’entreprise avait t pirate. Cependant, des captures d’cran du slack d’Uber indiquent que ces annonces ont d’abord t accueillies par des mmes et des blagues, car les employs n’avaient pas ralis qu’une vritable cyberattaque tait en cours.
Uber a depuis confirm l’attaque, tweetant qu’ils sont en contact avec les forces de l’ordre et publieront des informations supplmentaires ds qu’elles seront disponibles : Nous rpondons actuellement un incident de cyberscurit. Nous sommes en contact avec les forces de l’ordre et publierons des mises jour supplmentaires ici ds qu’elles seront disponibles .
Le New York Times, qui a d’abord rendu compte de la violation, a indiqu avoir parl l’acteur de la menace, qui a dclar avoir pntr par effraction les systmes d’Uber aprs avoir effectu une attaque d’ingnierie sociale contre un employ et vol son mot de passe. L’auteur de la menace a ensuite eu accs aux systmes internes de l’entreprise l’aide des informations d’identification voles.
Uber a ajout ceci sa prcdente dclaration :
Envoy par Uber- Nous n’avons aucune preuve que l’incident impliquait l’accs des donnes utilisateur sensibles (comme l’historique des trajets).
- Tous nos services, y compris Uber, Uber Eats, Uber Freight et l’application Uber Driver sont oprationnels.
- Comme nous l’avons partag hier, nous avons inform les forces de l’ordre.
- Les outils logiciels internes que nous avons retirs par prcaution hier reviennent en ligne ce matin.
Aprs que l’attaquant a annonc qu’il avait pirat les systmes d’Uber sur le serveur Slack de l’entreprise et dans des commentaires soumettre au programme de primes de bogues HackerOne, les chercheurs en scurit ont contact l’acteur de la menace pour en savoir plus sur l’attaque.
Lors d’une conversation entre l’acteur de la menace et le chercheur en scurit Corben Leo, le hacker a dclar qu’il a pu accder l’intranet d’Uber aprs avoir men une attaque d’ingnierie sociale contre un employ.
Selon l’auteur de la menace, il a tent de se connecter en tant qu’employ d’Uber, mais n’a pas fourni de dtails sur la manire dont il a eu accs aux informations d’identification.
Comme le compte Uber tait protg par une authentification multifacteur, l’attaquant aurait utilis une attaque MFA Fatigue et prtendu tre le support informatique d’Uber pour convaincre l’employ d’accepter la demande MFA.
Les attaques MFA Fatigue se produisent lorsqu’un acteur malveillant a accs aux identifiants de connexion de l’entreprise mais est bloqu pour accder au compte par une authentification multifacteur. Ils mettent ensuite des demandes rptes d’AMF la cible jusqu’ ce que les victimes en aient assez de les voir et acceptent finalement la notification.
Cette tactique d’ingnierie sociale est devenue trs populaire lors des rcentes attaques contre des entreprises bien connues, notamment Twitter, MailChimp, Robinhood et Okta.
Aprs avoir obtenu l’accs aux informations d’identification, l’auteur de la menace a dclar Leo qu’il s’tait connect au rseau interne via le VPN de l’entreprise et avait commenc analyser l’intranet de l’entreprise la recherche d’informations sensibles.
Dans le cadre de ces analyses, le pirate a dclar avoir trouv un script PowerShell contenant des informations d’identification d’administrateur pour la plate-forme de gestion des accs privilgis Thycotic (PAM) de l’entreprise, qui a t utilise pour accder aux secrets de connexion des autres services internes de l’entreprise.
Le New York Times rapporte que l’attaquant a affirm avoir accd aux bases de donnes et au code source d’Uber dans le cadre de l’attaque.
Pour tre clair, ces informations proviennent du hacker et n’ont pas t vrifies par Uber.
Les rapports de vulnrabilit HackerOne exposs
Bien qu’il soit possible que l’acteur de la menace ait vol des donnes et du code source Uber lors de cette attaque, il a galement eu accs ce qui pourrait tre un atout encore plus prcieux. Selon Sam Curry, ingnieur en scurit de Yuga Labs, le pirate avait galement accs au programme de primes de bogues HackerOne de la socit, o il commentait tous les tickets de primes de bogues de la socit.
Curry a dclar qu’il avait appris l’existence de la violation aprs que l’attaquant ait laiss le commentaire ci-dessus sur un rapport de vulnrabilit qu’il avait soumis Uber il y a deux ans.
Uber gre un programme de primes de bogues HackerOne qui permet aux chercheurs en scurit de divulguer en priv les vulnrabilits de leurs systmes et applications en change d’une rcompense montaire de prime de bogues. Ces rapports de vulnrabilit sont censs rester confidentiels jusqu’ ce qu’un correctif puisse tre publi pour empcher les attaquants de les exploiter lors d’attaques.
Curry a en outre partag qu’un employ d’Uber a dclar que le hacker avait accs toutes les soumissions de vulnrabilit prives de l’entreprise sur HackerOne. Le New-York Times a galement t inform par une source que l’attaquant avait tlcharg tous les rapports de vulnrabilit avant de perdre l’accs au programme de primes aux bogues d’Uber. Cela inclut probablement des rapports de vulnrabilit qui n’ont pas t corrigs, prsentant un risque de scurit grave pour Uber.
HackerOne a depuis dsactiv le programme Uber Bug Bounty, coupant l’accs aux vulnrabilits divulgues.
Cependant, il ne serait pas surprenant que le hacker ait dj tlcharg les rapports de vulnrabilit et les vende probablement d’autres acteurs malveillants pour tirer rapidement profit de l’attaque.
Sources : Uber (1, 2), captures d’cran des changes avec le hacker, Kevin Beaumont
Et vous ?
Quelle lecture faites-vous de cette situation ?