Uber affirme que la compromission des informations d’identification d’un fournisseur a conduit à une violation de données

Uber a offert plus de détails au sujet de la dernière violation de ses contrôles de sécurité, affirmant que la compromission des informations d’identification d’un sous-traitant externe était le point de départ de l’attaque. Il pense également que l’agresseur était lié au gang d’extorsion Lapsus$.

« Il est probable que l’attaquant ait acheté le mot de passe d’entreprise Uber du fournisseur sur le Web caché, après que l’appareil personnel de celui-ci ait été infecté par un logiciel malveillant, exposant ces informations d’identification », a déclaré lundi la société .

L’attaquant a ensuite tenté à plusieurs reprises de se connecter au compte Uber du fournisseur. À chaque fois, le fournisseur a reçu une demande d’approbation de connexion à deux facteurs, qui bloquait initialement l’accès. Finalement, cependant, l’entrepreneur a accepté une demande de connexion et l’attaquant a pu se connecter avec succès.

Cette tactique a été utilisée avec succès par un attaquant plus tôt cette année contre un employé de Cisco Systems.

« De là, l’attaquant a accédé à plusieurs autres comptes d’employés, ce qui a finalement donné à l’attaquant des autorisations élevées sur un certain nombre d’outils, notamment G-Suite et Slack. L’attaquant a ensuite publié un message sur un canal Slack à l’échelle de l’entreprise, que beaucoup d’entre vous [les journalistes] ont vu, et a reconfiguré l’OpenDNS d’Uber pour afficher une image graphique aux employés sur certains sites internes. »

Uber pense que l’agresseur ou les agresseurs sont affiliés au gang Lapsus$, qui aurait été gravement affaibli en mars lorsque la police britannique a arrêté sept personnes âgées de 16 à 21 ans. En fin de compte, deux adolescents qui auraient piraté pour le gang ont été inculpés.

Lapsus$ a acquis une certaine notoriété pour avoir revendiqué des attaques contre le fabricant de cartes graphiques Nvidia, Samsung, Cisco Systems et le développeur de jeux en ligne Ubisoft. Microsoft a reconnu en mars avoir été touché par le gang.

Uber a reconnu que l’attaquant avait téléchargé certains messages internes de Slack, ainsi qu’accédé à ou téléchargé des informations à partir d’un outil interne que son équipe financière utilise pour gérer certaines factures. Ces téléchargements sont en cours d’analyse.

Elle admet également que l’attaquant a pu accéder au tableau de bord d’Uber sur HackerOne, où les chercheurs en sécurité signalent des bogues et des vulnérabilités contre de l’argent. Cependant, a déclaré Uber, tous les rapports de bogues auxquels l’attaquant a pu accéder ont été corrigés.

Jusqu’à présent, Uber dit qu’il n’a aucune preuve que l’attaquant a accédé à ses systèmes de production (c’est-à-dire accessibles au public), ou aux bases de données qu’il utilise pour stocker des informations sensibles sur les utilisateurs, comme les numéros de carte de crédit, les informations de compte bancaire de l’utilisateur ou l’historique des trajets. Uber a noté que la société crypte les informations de carte de crédit et les données de santé personnelles.

Les services Uber, Uber Eats et Uber Freight sont toujours opérationnels et fonctionnent correctement, a indiqué la société. « Parce que nous avons supprimé certains outils internes, les opérations de support client ont été peu impactées et sont maintenant revenues à la normale », a-t-elle ajouté.

Parmi les mesures qu’Uber dit avoir prises à la suite de cette violation :

  • Tous les comptes d’employés qui ont été compromis ou potentiellement compromis ont été bloqués ou ont dû faire réinitialiser leur mot de passe.
  • Les clés d’identification ont été alternées, réinitialisant ainsi l’accès à de nombreux services internes d’Uber.
  • Les bases de code des applications ont été verrouillées pour empêcher toute nouvelle modification du code.
  • Les employés qui accèdent aux outils de développement doivent s’authentifier à nouveau. Uber a également déclaré qu’elle « renforçait encore [ses] politiques d’authentification multifacteur (AMF) ».
  • Une surveillance supplémentaire de l’environnement interne d’Uber a été ajoutée pour garder un œil encore plus attentif sur toute autre activité suspecte.

Pour plus de détails, l’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à hsolomon@soloreporter.com.

Articles connexes

Un employé d’Uber aurait donné son mot de passe à un usurpateur informatique

Un pirate informatique de 18 ans revendique la responsabilité de ce qui est considéré comme une énorme violation des contrôles de sécurité chez Uber.

Cisco admet que les données publiées par un gang de rançongiciels proviennent de ses systèmes

Cisco Systems a admis que les données publiées dimanche par le gang de rançongiciels Yanluowang avaient été volées au géant des réseaux lors d'une cyberattaque plus tôt cette année.

Le groupe hôtelier InterContinental victime d’une cyberattaque

La société hôtelière britannique InterContinental Hotels Group PLC (IHG) publiait hier une déclaration confirmant une cyberattaque sur un certain nombre de ses systèmes technologiques, deux jours après la perturbation de ses canaux de réservation et d'autres applications. IHG a déclaré qu'ils enquêtaient sur une « activité non autorisée ».

Balado Hashtag Tendances, 8 septembre 2022 — Informatique quantique, nouveau casque VR, nouveau service Netflix et fuite de données de TikTok

Balado Hashtag Tendances, 8 septembre 2022 — Cette semaine : Une sortie contre l’informatique quantique, un nouveau casque de réalité virtuelle pour Meta, un nouveau service à rabais pour Netflix et une prétendue fuite de données de TikTok.

L’attaque conte Twilio révèle les faiblesses des systèmes d’authentification multifacteur

La dernière révélation sur la campagne de hameçonnage visant à compromettre les comptes de connexion des employés de Twilio est un rappel que l'authentification multifacteur pour protéger les connexions peut être contournée si les systèmes qui la sous-tendent ne sont pas sécurisés.