Pour le moment, il n'est pas clair si les données des clients ont été exposées dans l'attaque qui semble résulter de l'extraction des mots de passe d'un employé via l'ingénierie sociale.
Un hacker, prétendument âgé de 18 ans, a téléchargé des rapports de vulnérabilité HackerOne et partageant des captures d'écran des systèmes internes de l'entreprise, du tableau de bord de messagerie et du serveur Slack. Les captures d'écran partagées par le hacker montrent ce qui semble être un accès complet à de nombreux systèmes informatiques critiques d'Uber, y compris le logiciel de sécurité de l'entreprise et le domaine Windows.
Les autres systèmes auxquels le pirate a accès incluent la console Amazon Web Services de l'entreprise, les machines virtuelles VMware vSphere/ESXi et le tableau de bord d'administration Google Workspace pour la gestion des comptes de messagerie Uber.
L'auteur de la menace a également piraté le serveur Uber Slack, qu'il a utilisé pour envoyer des messages aux employés indiquant que l'entreprise avait été piratée. Cependant, des captures d'écran du slack d'Uber indiquent que ces annonces ont d'abord été accueillies par des mèmes et des blagues, car les employés n'avaient pas réalisé qu'une véritable cyberattaque était en cours.
Uber a depuis confirmé l'attaque, tweetant qu'ils sont en contact avec les forces de l'ordre et publieront des informations supplémentaires dès qu'elles seront disponibles : « Nous répondons actuellement à un incident de cybersécurité. Nous sommes en contact avec les forces de l'ordre et publierons des mises à jour supplémentaires ici dès qu'elles seront disponibles ».
Le New York Times, qui a d'abord rendu compte de la violation, a indiqué avoir parlé à l'acteur de la menace, qui a déclaré avoir pénétré par effraction les systèmes d'Uber après avoir effectué une attaque d'ingénierie sociale contre un employé et volé son mot de passe. L'auteur de la menace a ensuite eu accès aux systèmes internes de l'entreprise à l'aide des informations d'identification volées.
Uber a ajouté ceci à sa précédente déclaration :
Envoyé par Uber
Lors d'une conversation entre l'acteur de la menace et le chercheur en sécurité Corben Leo, le hacker a déclaré qu'il a pu accéder à l'intranet d'Uber après avoir mené une attaque d'ingénierie sociale contre un employé.
Selon l'auteur de la menace, il a tenté de se connecter en tant qu'employé d'Uber, mais n'a pas fourni de détails sur la manière dont il a eu accès aux informations d'identification.
Comme le compte Uber était protégé par une authentification multifacteur, l'attaquant aurait utilisé une attaque MFA Fatigue et prétendu être le support informatique d'Uber pour convaincre l'employé d'accepter la demande MFA.
Les attaques MFA Fatigue se produisent lorsqu'un acteur malveillant a accès aux identifiants de connexion de l'entreprise mais est bloqué pour accéder au compte par une authentification multifacteur. Ils émettent ensuite des demandes répétées d'AMF à la cible jusqu'à ce que les victimes en aient assez de les voir et acceptent finalement la notification.
Cette tactique d'ingénierie sociale est devenue très populaire lors des récentes attaques contre des entreprises bien connues, notamment Twitter, MailChimp, Robinhood et Okta.
Après avoir obtenu l'accès aux informations d'identification, l'auteur de la menace a déclaré à Leo qu'il s'était connecté au réseau interne via le VPN de l'entreprise et avait commencé à analyser l'intranet de l'entreprise à la recherche d'informations sensibles.
Dans le cadre de ces analyses, le pirate a déclaré avoir trouvé un script PowerShell contenant des informations d'identification d'administrateur pour la plate-forme de gestion des accès privilégiés Thycotic (PAM) de l'entreprise, qui a été utilisée pour accéder aux secrets de connexion des autres services internes de l'entreprise.
Le New York Times rapporte que l'attaquant a affirmé avoir accédé aux bases de données et au code source d'Uber dans le cadre de l'attaque.
Pour être clair, ces informations proviennent du hacker et n'ont pas été vérifiées par Uber.
Les rapports de vulnérabilité HackerOne exposés
Bien qu'il soit possible que l'acteur de la menace ait volé des données et du code source à Uber lors de cette attaque, il a également eu accès à ce qui pourrait être un atout encore plus précieux. Selon Sam Curry, ingénieur en sécurité de Yuga Labs, le pirate avait également accès au programme de primes de bogues HackerOne de la société, où il commentait tous les tickets de primes de bogues de la société.
Curry a déclaré à qu'il avait appris l'existence de la violation après que l'attaquant ait laissé le commentaire ci-dessus sur un rapport de vulnérabilité qu'il avait soumis à Uber il y a deux ans.
Uber gère un programme de primes de bogues HackerOne qui permet aux chercheurs en sécurité de divulguer en privé les vulnérabilités de leurs systèmes et applications en échange d'une récompense monétaire de prime de bogues. Ces rapports de vulnérabilité sont censés rester confidentiels jusqu'à ce qu'un correctif puisse être publié pour empêcher les attaquants de les exploiter lors d'attaques.
Curry a en outre partagé qu'un employé d'Uber a déclaré que le hacker avait accès à toutes les soumissions de vulnérabilité privées de l'entreprise sur HackerOne. Le New-York Times a également été informé par une source que l'attaquant avait téléchargé tous les rapports de vulnérabilité avant de perdre l'accès au programme de primes aux bogues d'Uber. Cela inclut probablement des rapports de vulnérabilité qui n'ont pas été corrigés, présentant un risque de sécurité grave pour Uber.
HackerOne a depuis désactivé le programme Uber Bug Bounty, coupant l'accès aux vulnérabilités divulguées.
Cependant, il ne serait pas surprenant que le hacker ait déjà téléchargé les rapports de vulnérabilité et les vende probablement à d'autres acteurs malveillants pour tirer rapidement profit de l'attaque.
Sources : Uber (1, 2), captures d'écran des échanges avec le hacker, Kevin Beaumont
Et vous ?
Quelle lecture faites-vous de cette situation ?