Uber a été piraté par un adolescent - voici ce que nous savons jusqu'à présent

Publié: 2022-09-19

MISE À JOUR 16/09/2022 13h56 HE : Uber a répondu au rapport du New York Times. La société déclare qu'elle n'a aucune preuve que des données sensibles ont été consultées et que les forces de l'ordre ont été informées. Lisez le rapport original ci-dessous.

Le géant du covoiturage Uber a confirmé aujourd'hui qu'il avait été piraté. L'attaquant, s'adressant au New York Times , affirme avoir pénétré les systèmes d'ingénierie et de communication internes de l'entreprise.

Cet incident est étrange à bien des niveaux. Bien que l'étendue de l'intrusion reste incertaine, ce que nous savons est véritablement étonnant.

En utilisant le peu d'informations dont nous disposons, nous allons décomposer cet incident, analyser la réponse d'Uber et explorer toutes les conséquences possibles pour les passagers Uber.

L'attaquant

application uber sur iphone — Image : Unsplash

Voici la bonne nouvelle : l'attaquant ne semble pas faire partie d'un gang criminel à but lucratif ou d'une équipe de piratage parrainée par l'État.

En fait, le pirate semble motivé par la curiosité et le désir de transgresser les défenses numériques de la compagnie de taxi la plus précieuse au monde.

Comment le savons nous? Premièrement, l'attaquant a été assez franc sur ses motivations. S'adressant au New York Times , ils ont affirmé être un passionné de cybersécurité de 18 ans.

Pourquoi Uber est-il entré dans leur ligne de mire ? Parce que l'attaquant a affirmé qu'il "avait une sécurité faible".

D'ailleurs, ils ont annoncé leur présence à Uber. Après avoir accédé à ses systèmes internes, le pirate a publié un message Slack qui disait : "J'annonce que je suis un pirate et Uber a subi une violation de données."

Les vrais acteurs malveillants ont tendance à garder le silence le plus longtemps possible. Ou ils agissent de manière décisive pour paralyser l'entreprise afin d'obtenir une forte rançon. Aucune de ces choses ne s'est produite ici.

Le message de Slack appelait également Uber à payer davantage ses chauffeurs et énumérait plusieurs bases de données internes. En guise d'ultime coup de grâce, l'agresseur a, selon le New York Times , posté "une photo explicite sur une page d'information interne destinée aux employés".

L'attaque

Uber, ce que vous devez savoir, le fil.

1) pic.twitter.com/CXU75bqrZU
– Kevin Beaumont (@GossiTheDog) 16 septembre 2022

Au moment d'écrire ces lignes, Uber n'a pas encore publié son post-mortem sur l'incident de sécurité. C'est compréhensible. Cette histoire est très fraîche.

Nous devrons nous fier au propre témoignage de l'attaquant et aux rapports du NYT pour plus de clarté. Selon le journal, l'attaquant a utilisé de simples tactiques d'ingénierie sociale.

Ils ont persuadé un employé de donner son mot de passe en se faisant passer pour un "informaticien d'entreprise".

Ce qui s'est passé après reste flou. Une source du NYT a affirmé que l'attaque était un "compromis total" des systèmes d'Uber.

Mais il y a une différence entre un compromis et une violation catastrophique. L'emplacement d'un incident sur l'un ou l'autre de ces pôles dépend en grande partie de l'intention.

Si l'attaquant a exfiltré d'énormes quantités de données d'utilisateurs et les a vendues, ou a demandé une rançon à l'entreprise, comme dans le cas du piratage d'Uber en 2017, l'incident entre dans cette dernière catégorie. Jusqu'à présent, il n'y a aucune preuve de cela.

L'absence de tout motif financier ne justifie pas ce qui s'est passé. Mais cela indique que ce pirate informatique n'est qu'un adolescent curieux avec une compréhension limitée de la loi sur la cybersécurité.

Après avoir compromis le compte de l'employé, l'attaquant a trouvé un script Microsoft PowerShell avec des informations d'identification d'administrateur codées en dur, selon l'expert en sécurité Marcus Hutchins.

Avec ces informations d'identification, le pirate pourrait infiltrer d'autres parties de l'appareil informatique d'Uber. Dans le domaine de la sécurité, cela s'appelle le "mouvement latéral".

Ou, en d'autres termes : l'attaquant augmente progressivement son emprise en compromettant plusieurs systèmes, chacun fournissant une autre pièce du puzzle.

La réponse

Nous répondons actuellement à un incident de cybersécurité. Nous sommes en contact avec les forces de l'ordre et publierons des mises à jour supplémentaires ici dès qu'elles seront disponibles.
– Uber Comms (@Uber_Comms) 16 septembre 2022

Uber n'a pas encore clarifié tout impact sur les utilisateurs. L'entreprise n'a pas encore publié d'annonce officielle sur sa page de salle de presse, comme c'est généralement le cas lorsqu'une entreprise subit une violation.

Dans un tweet, Uber a déclaré qu'il enquêtait sur l'incident en collaboration avec les forces de l'ordre.

Étant donné que l'attaquant a parlé à diverses agences de presse et n'a pas hésité à cacher sa présence dans le réseau d'Uber, il est fort probable qu'il sera réveillé par un coup de porte matinal dans les semaines et les mois à venir.

Mise à jour : un acteur de la menace prétend avoir complètement compromis Uber ; il a publié des captures d'écran de son instance AWS, du panneau d'administration HackerOne, etc.

Ils se moquent et se moquent ouvertement de @Uber. pic.twitter.com/Q3PzzBLsQY

– vx-underground (@vxunderground) 16 septembre 2022

Opsec (ou "sécurité opérationnelle", le processus de dissimulation de vos actions) n'est probablement pas leur plus grande priorité.

Qu'est-ce que cela signifie pour les clients Uber ?

Honnêtement, nous ne savons pas. Il n'y a pas d'informations définitives sur ce à quoi l'attaquant a accédé, s'il a exfiltré des données ou sur les politiques d'Uber concernant les informations client.

En tant que tel, nous vous recommandons de suivre les étapes suivantes :

Par précaution, remplacez votre mot de passe Uber par un mot de passe fort et unique. Idéalement, Uber devrait protéger les mots de passe par hachage et salage (comme expliqué ici). Si ce n'est pas le cas, ou pas à un niveau adéquat, la modification de votre mot de passe protégera votre compte.
Configurer l'authentification à deux facteurs (MFA ou 2FA)
Supprimez les détails de votre carte de débit. Payer des courses Uber avec une carte de crédit signifie que vous pouvez effectuer une rétrofacturation si un attaquant détourne votre compte.

KnowTechie a contacté un représentant d'Uber pour un commentaire. Si nous entendons de retour, nous mettrons à jour ce message.

MISE À JOUR 20/09/2022 08h30 HE : Uber a publié un article sur le blog de son entreprise, qui fournit des mises à jour sur ce qui s'est exactement passé et sur la façon dont ils gèrent sa réponse à son récent incident de sécurité.

L'entreprise décrit la gravité de la violation, comment elle s'est produite, qui en était responsable et ce qu'elle fait pour atténuer le problème. L'enquête est toujours en cours et la société travaille actuellement avec des entreprises de criminalistique numérique pour résoudre le problème.

Avez-vous des idées à ce sujet? Portez la discussion sur notre Twitter ou Facebook.

Recommandations des éditeurs :

Le nouveau hack TikTok exposerait le code source et les données utilisateur
LastPass signale une nouvelle violation de données, mais il n'y a pas lieu de paniquer
Un hacker transfère l'emblématique FPS Doom sur un tracteur John Deere
Un nouvel exploit permet aux pirates de déverrouiller n'importe quelle Honda fabriquée depuis 2012