Piratage Uber : un hacker accède aux systèmes de l'entreprise ainsi qu'aux rapports sur les failles
les employés Uber croyaient que c'était une blague

Uber reconnaît avoir été victime d'un « incident de cybersécurité » ayant permis à un hacker d'accéder aux systèmes internes de l'entreprise, incluant le domaine Windows et son serveur de messagerie Slack. Le pirate informatique présumé, qui prétend être âgé de 18 ans, affirme avoir un accès administrateur aux outils de l'entreprise, notamment Amazon Web Services et Google Cloud Platform. Le hacker a publié jeudi des captures d'écran de ses exploits présumés sur Telegram et a même annoncé le piratage dans les canaux internes Slack d'Uber ce soir-là, ce qui a apparemment amené certains employés à penser que c'était une blague. L'entreprise de covoiturage a mis plusieurs systèmes internes, y compris Slack, hors ligne pendant qu'elle enquêtait sur la violation.

Pour le moment, il n'est pas clair si les données des clients ont été exposées dans l'attaque qui semble résulter de l'extraction des mots de passe d'un employé via l'ingénierie sociale.


Un hacker, prétendument âgé de 18 ans, a téléchargé des rapports de vulnérabilité HackerOne et partageant des captures d'écran des systèmes internes de l'entreprise, du tableau de bord de messagerie et du serveur Slack. Les captures d'écran partagées par le hacker montrent ce qui semble être un accès complet à de nombreux systèmes informatiques critiques d'Uber, y compris le logiciel de sécurité de l'entreprise et le domaine Windows.

Les autres systèmes auxquels le pirate a accès incluent la console Amazon Web Services de l'entreprise, les machines virtuelles VMware vSphere/ESXi et le tableau de bord d'administration Google Workspace pour la gestion des comptes de messagerie Uber.

L'auteur de la menace a également piraté le serveur Uber Slack, qu'il a utilisé pour envoyer des messages aux employés indiquant que l'entreprise avait été piratée. Cependant, des captures d'écran du slack d'Uber indiquent que ces annonces ont d'abord été accueillies par des mèmes et des blagues, car les employés n'avaient pas réalisé qu'une véritable cyberattaque était en cours.

Uber a depuis confirmé l'attaque, tweetant qu'ils sont en contact avec les forces de l'ordre et publieront des informations supplémentaires dès qu'elles seront disponibles : « Nous répondons actuellement à un incident de cybersécurité. Nous sommes en contact avec les forces de l'ordre et publierons des mises à jour supplémentaires ici dès qu'elles seront disponibles ».

Nom : uber.png
Affichages : 1485
Taille : 16,0 Ko

Le New York Times, qui a d'abord rendu compte de la violation, a indiqué avoir parlé à l'acteur de la menace, qui a déclaré avoir pénétré par effraction les systèmes d'Uber après avoir effectué une attaque d'ingénierie sociale contre un employé et volé son mot de passe. L'auteur de la menace a ensuite eu accès aux systèmes internes de l'entreprise à l'aide des informations d'identification volées.

Uber a ajouté ceci à sa précédente déclaration :

Citation Envoyé par Uber
Alors que nos efforts d'enquête et de réponse sont en cours, voici une autre mise à jour sur l'incident d'hier*:
  • Nous n'avons aucune preuve que l'incident impliquait l'accès à des données utilisateur sensibles (comme l'historique des trajets).
  • Tous nos services, y compris Uber, Uber Eats, Uber Freight et l'application Uber Driver sont opérationnels.
  • Comme nous l'avons partagé hier, nous avons informé les forces de l'ordre.
  • Les outils logiciels internes que nous avons retirés par précaution hier reviennent en ligne ce matin.
Après que l'attaquant a annoncé qu'il avait piraté les systèmes d'Uber sur le serveur Slack de l'entreprise et dans des commentaires à soumettre au programme de primes de bogues HackerOne, les chercheurs en sécurité ont contacté l'acteur de la menace pour en savoir plus sur l'attaque.

Lors d'une conversation entre l'acteur de la menace et le chercheur en sécurité Corben Leo, le hacker a déclaré qu'il a pu accéder à l'intranet d'Uber après avoir mené une attaque d'ingénierie sociale contre un employé.

Nom : under.png
Affichages : 1411
Taille : 23,8 Ko

Selon l'auteur de la menace, il a tenté de se connecter en tant qu'employé d'Uber, mais n'a pas fourni de détails sur la manière dont il a eu accès aux informations d'identification.

Comme le compte Uber était protégé par une authentification multifacteur, l'attaquant aurait utilisé une attaque MFA Fatigue et prétendu être le support informatique d'Uber pour convaincre l'employé d'accepter la demande MFA.

Les attaques MFA Fatigue se produisent lorsqu'un acteur malveillant a accès aux identifiants de connexion de l'entreprise mais est bloqué pour accéder au compte par une authentification multifacteur. Ils émettent ensuite des demandes répétées d'AMF à la cible jusqu'à ce que les victimes en aient assez de les voir et acceptent finalement la notification.

Cette tactique d'ingénierie sociale est devenue très populaire lors des récentes attaques contre des entreprises bien connues, notamment Twitter, MailChimp, Robinhood et Okta.

Après avoir obtenu l'accès aux informations d'identification, l'auteur de la menace a déclaré à Leo qu'il s'était connecté au réseau interne via le VPN de l'entreprise et avait commencé à analyser l'intranet de l'entreprise à la recherche d'informations sensibles.

Dans le cadre de ces analyses, le pirate a déclaré avoir trouvé un script PowerShell contenant des informations d'identification d'administrateur pour la plate-forme de gestion des accès privilégiés Thycotic (PAM) de l'entreprise, qui a été utilisée pour accéder aux secrets de connexion des autres services internes de l'entreprise.

Nom : beaumont.png
Affichages : 1413
Taille : 85,8 Ko

Le New York Times rapporte que l'attaquant a affirmé avoir accédé aux bases de données et au code source d'Uber dans le cadre de l'attaque.

Pour être clair, ces informations proviennent du hacker et n'ont pas été vérifiées par Uber.

Les rapports de vulnérabilité HackerOne exposés

Bien qu'il soit possible que l'acteur de la menace ait volé des données et du code source à Uber lors de cette attaque, il a également eu accès à ce qui pourrait être un atout encore plus précieux. Selon Sam Curry, ingénieur en sécurité de Yuga Labs, le pirate avait également accès au programme de primes de bogues HackerOne de la société, où il commentait tous les tickets de primes de bogues de la société.

Curry a déclaré à qu'il avait appris l'existence de la violation après que l'attaquant ait laissé le commentaire ci-dessus sur un rapport de vulnérabilité qu'il avait soumis à Uber il y a deux ans.

Uber gère un programme de primes de bogues HackerOne qui permet aux chercheurs en sécurité de divulguer en privé les vulnérabilités de leurs systèmes et applications en échange d'une récompense monétaire de prime de bogues. Ces rapports de vulnérabilité sont censés rester confidentiels jusqu'à ce qu'un correctif puisse être publié pour empêcher les attaquants de les exploiter lors d'attaques.

Nom : curry.png
Affichages : 1401
Taille : 48,1 Ko

Curry a en outre partagé qu'un employé d'Uber a déclaré que le hacker avait accès à toutes les soumissions de vulnérabilité privées de l'entreprise sur HackerOne. Le New-York Times a également été informé par une source que l'attaquant avait téléchargé tous les rapports de vulnérabilité avant de perdre l'accès au programme de primes aux bogues d'Uber. Cela inclut probablement des rapports de vulnérabilité qui n'ont pas été corrigés, présentant un risque de sécurité grave pour Uber.

HackerOne a depuis désactivé le programme Uber Bug Bounty, coupant l'accès aux vulnérabilités divulguées.

Cependant, il ne serait pas surprenant que le hacker ait déjà téléchargé les rapports de vulnérabilité et les vende probablement à d'autres acteurs malveillants pour tirer rapidement profit de l'attaque.

Sources : Uber (1, 2), captures d'écran des échanges avec le hacker, Kevin Beaumont

Et vous ?

Quelle lecture faites-vous de cette situation ?