Uber affirme que la compromission des informations d’identification d’un fournisseur a conduit à une violation de données

Uber a offert plus de détails au sujet de la dernière violation de ses contrôles de sécurité, affirmant que la compromission des informations d’identification d’un sous-traitant externe était le point de départ de l’attaque. Il pense également que l’agresseur était lié au gang d’extorsion Lapsus$.

« Il est probable que l’attaquant ait acheté le mot de passe d’entreprise Uber du fournisseur sur le Web caché, après que l’appareil personnel de celui-ci ait été infecté par un logiciel malveillant, exposant ces informations d’identification », a déclaré lundi la société .

L’attaquant a ensuite tenté à plusieurs reprises de se connecter au compte Uber du fournisseur. À chaque fois, le fournisseur a reçu une demande d’approbation de connexion à deux facteurs, qui bloquait initialement l’accès. Finalement, cependant, l’entrepreneur a accepté une demande de connexion et l’attaquant a pu se connecter avec succès.

Cette tactique a été utilisée avec succès par un attaquant plus tôt cette année contre un employé de Cisco Systems.

« De là, l’attaquant a accédé à plusieurs autres comptes d’employés, ce qui a finalement donné à l’attaquant des autorisations élevées sur un certain nombre d’outils, notamment G-Suite et Slack. L’attaquant a ensuite publié un message sur un canal Slack à l’échelle de l’entreprise, que beaucoup d’entre vous [les journalistes] ont vu, et a reconfiguré l’OpenDNS d’Uber pour afficher une image graphique aux employés sur certains sites internes. »

Uber pense que l’agresseur ou les agresseurs sont affiliés au gang Lapsus$, qui aurait été gravement affaibli en mars lorsque la police britannique a arrêté sept personnes âgées de 16 à 21 ans. En fin de compte, deux adolescents qui auraient piraté pour le gang ont été inculpés.

Lapsus$ a acquis une certaine notoriété pour avoir revendiqué des attaques contre le fabricant de cartes graphiques Nvidia, Samsung, Cisco Systems et le développeur de jeux en ligne Ubisoft. Microsoft a reconnu en mars avoir été touché par le gang.

Uber a reconnu que l’attaquant avait téléchargé certains messages internes de Slack, ainsi qu’accédé à ou téléchargé des informations à partir d’un outil interne que son équipe financière utilise pour gérer certaines factures. Ces téléchargements sont en cours d’analyse.

Elle admet également que l’attaquant a pu accéder au tableau de bord d’Uber sur HackerOne, où les chercheurs en sécurité signalent des bogues et des vulnérabilités contre de l’argent. Cependant, a déclaré Uber, tous les rapports de bogues auxquels l’attaquant a pu accéder ont été corrigés.

Jusqu’à présent, Uber dit qu’il n’a aucune preuve que l’attaquant a accédé à ses systèmes de production (c’est-à-dire accessibles au public), ou aux bases de données qu’il utilise pour stocker des informations sensibles sur les utilisateurs, comme les numéros de carte de crédit, les informations de compte bancaire de l’utilisateur ou l’historique des trajets. Uber a noté que la société crypte les informations de carte de crédit et les données de santé personnelles.

Les services Uber, Uber Eats et Uber Freight sont toujours opérationnels et fonctionnent correctement, a indiqué la société. « Parce que nous avons supprimé certains outils internes, les opérations de support client ont été peu impactées et sont maintenant revenues à la normale », a-t-elle ajouté.

Parmi les mesures qu’Uber dit avoir prises à la suite de cette violation :

  • Tous les comptes d’employés qui ont été compromis ou potentiellement compromis ont été bloqués ou ont dû faire réinitialiser leur mot de passe.
  • Les clés d’identification ont été alternées, réinitialisant ainsi l’accès à de nombreux services internes d’Uber.
  • Les bases de code des applications ont été verrouillées pour empêcher toute nouvelle modification du code.
  • Les employés qui accèdent aux outils de développement doivent s’authentifier à nouveau. Uber a également déclaré qu’elle « renforçait encore [ses] politiques d’authentification multifacteur (AMF) ».
  • Une surveillance supplémentaire de l’environnement interne d’Uber a été ajoutée pour garder un œil encore plus attentif sur toute autre activité suspecte.

Pour plus de détails, l’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à hsolomon@soloreporter.com.

Articles connexes

Un gang de rançongiciel commence à divulguer des données volées dans une université québécoise

Le gang de rançongiciel LockBit a commencé à divulguer des données qui, selon lui, auraient été volées le mois dernier dans une université québécoise. Les données proviennent de l'Université de Sherbrooke, qui compte environ 31 000 étudiants et 8 200 professeurs et employés.

Une commission scolaire du sud de l’Ontario reconnaît un « cyberincident »

L'une des plus grandes commissions scolaires publiques du sud de l'Ontario a reconnu publiquement une cyberattaque, plus d'un mois après sa détection.

Un groupe d’assurance dentaire avise près de 7 millions d’Américains d’un vol de données lié à MOVEit

Près de 7 millions de résidents américains ont été informés par un fournisseur d’assurance dentaire que leurs informations personnelles ont été volées lors de l'une des plus grandes attaques impliquant l'application de transfert de fichiers MOVEit.

L’Université de Sherbrooke victime d’une attaque de rançongiciel

L’université de Sherbrooke (UdeS) aurait été victime du gang de rançongiciel LockBit. C’est ce que rapportait Brett Callow, analyste des menaces chez Emsisoft, sur X (anciennement Twitter) jeudi dernier, avec capture d’écran à l’appui.

Les données d’employés actuels et anciens de la bibliothèque de Toronto volées lors d’une attaque de rançongiciel

Le réseau des bibliothèques publiques de Toronto a reconnu que le gang de rançongiciel qui l'a attaqué le mois dernier a volé des données personnelles identifiables d’employés.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.