histats

Comment Uber a été piraté – encore une fois

Comment Uber a été piraté – encore une fois

La semaine dernière, un jeune de 18 ans hacker a utilisé des techniques d’ingénierie sociale pour compromettre le réseau d’Uber. Il a compromis la connexion Slack d’un employé et l’a utilisé pour envoyer un message aux employés d’Uber annonçant qu’ils avaient subi une violation de données. Uber a confirmé l’attaque sur Twitter en quelques heures, publier plus de détails sur cette page. La société affirme qu’aucune donnée d’utilisateur n’était en danger, qu’elle a informé les forces de l’ordre et que tous ses services ont été rétablis. (Il y a eu quelques brèves pannes dans divers outils logiciels, mais ils sont également de retour en ligne). Uber pense maintenant que le pirate fait partie d’un groupe de pirates nommé Lapsus$.

Ce qui est intéressant à propos de cet incident, c’est la rapidité avec laquelle diverses publications et analystes de la sécurité ont fourni une couverture, la rapidité avec laquelle Uber a alerté le monde et la quantité de détails que nous avons déjà sur ce qui s’est passé. Comparez cela à un autre piratage d’Uber en 2016, quand les informations personnelles d’environ 57 millions de clients et de conducteurs ont été volées. Cette brèche n’a pas été rendue publique depuis plus d’un an et a conduit Uber à licencier son directeur de la sécurité, Joseph Sullivan. Il fait actuellement face à des accusations pour avoir prétendument arrangé le paiement de 100 000 $ aux pirates informatiques pour dissimuler les choses et pour le retard dans la divulgation de la violation. Les pirates auraient été contraints de signer des accords de non-divulgation, une étrange façon de gérer la violation, bien sûr.

Expérience DevOps 2022

Comment la rupture s’est-elle produite ?

La pause de la semaine dernière est expliqué dans ce fil Twitter, ce qui est inhabituel en raison de ce niveau de détail partagé par l’attaquant, qui aurait partagé les captures d’écran présentées dans le fil. Ils comprennent des consoles qui contrôlent les comptes Amazon Web Services et Google Workspace d’Uber, ainsi que d’autres systèmes critiques. Un analyste de sécurité, qui a répondu à la violation dans son propre fil Twittera déclaré que le pirate avait un contrôle administratif presque total sur les systèmes informatiques de l’entreprise, y compris le code source du logiciel et les systèmes de messagerie internes.

See also  Avertissement Android urgent - Les applications que vous devez supprimer MAINTENANT et qui pourraient ruiner votre téléphone

Le pirate – dont Uber croit maintenant qu’il est membre Groupe de hackers Lapsus$ qui a été à l’origine d’un certain nombre d’autres violations très médiatisées – s’est ensuite entretenu avec divers journalistes, admettant qu’ils y avaient eu accès en utilisant des techniques d’ingénierie sociale sur un sous-traitant de l’entreprise. Ils ont créé un portail MFA man-in-the-middle qui a amené cette personne à révéler ses identifiants d’authentification, prétendant appartenir au service informatique d’Uber.

Le pirate s’est ensuite connecté au VPN de l’entreprise et a parcouru le réseau à la recherche de cibles, y compris un script PowerShell contenant un accès administrateur à une plate-forme de gestion des accès privilégiés. L’une des destinations était les rapports de primes de bogues HackerOne d’Uber, qui pourraient être très dommageables car ils connaîtraient des vulnérabilités qui n’ont pas encore été corrigées et pourraient exiger un paiement premium s’ils sont partagés sur le dark web.

Leçon

Voici quelques points importants à garder à l’esprit après cette rupture :

1. Toutes les méthodes MFA ne sont pas égales

Uber n’a pas utilisé de clés FIDO2 ni de jetons matériels pour sécuriser ses comptes internes les plus critiques. Ceux-ci sont plus résistants aux attaques de phishing comme ce qui s’est passé ici. Les attaquants peuvent facilement créer de fausses pages de connexion qui peuvent collecter les informations d’un utilisateur pour les employés sans méfiance.

2. L’ingénierie sociale reste une menace

Vous pouvez avoir toutes sortes de systèmes de sécurité, mais il est toujours difficile de lutter contre la nature humaine fondamentale. Il était facile de voir comment le pirate a gagné la confiance et compromis les employés d’Uber. Ars Technica souligne, “De nombreuses organisations et cultures continuent de croire que leurs membres sont trop intelligents pour tomber dans le piège des attaques de phishing. Ils apprécient la commodité des applications d’authentification par rapport aux formes FIDO2 de MFA, qui nécessitent la possession d’un téléphone ou d’une clé physique. Ce type de violation restera un fait jusqu’à ce que cet état d’esprit change.

See also  Reconnaître, éviter et signaler les escroqueries courantes - Spotlight News - Home of The Spot 518

3. Les informations de connexion de l’administrateur ne doivent être codées en dur nulle part

… Surtout pas dans un script. Cela signifie essentiellement que vous disposez d’une authentification à facteur zéro, car toute personne lisant le script peut déterminer les informations d’identification.

4.Havoir un canal de communication de secours est essentiel

Ce canal doit être hors bande de votre réseau pour communiquer entre votre équipe d’intervention en cas de violation. Après que le pirate ait compromis Slack, ils ont envoyé divers messages revendiquant l’exploit qui n’ont pas été pris au sérieux par le personnel de sécurité d’Uber, qui pensait que c’était une blague (ce n’était pas le cas).

Heureusement, Uber a signalé cette violation et a agi rapidement. La société a pris diverses mesures pour verrouiller son magasin de codes, modifier les informations d’identification et identifier d’autres comptes compromis. Ils continuent d’ajouter du contenu à leur site Web.

You may also like...

Leave a Reply

Your email address will not be published.