Qu’est-ce qui vient juste de se passer? Uber enquête sur un incident de cybersécurité qui a compromis bon nombre de ses systèmes internes, donnant au pirate, qui dit n’avoir que 18 ans, un accès presque complet au réseau de l’entreprise. On pense que la violation est aussi grave ou pire que l’incident de 2016 qui a révélé les détails de 57 millions de clients.

La New York Times rapporte que le pirate a utilisé une technique d’ingénierie sociale courante pour accéder aux systèmes d’Uber. Il a envoyé un SMS à l’un des employés du géant du covoiturage prétendant être un informaticien d’entreprise. Le travailleur a été persuadé de remettre son mot de passe, permettant à l’agresseur d’accéder au réseau d’Uber.

Le pirate a fourni des captures d’écran des systèmes internes d’Uber au NYT comme preuve de son attaque réussie. Il a déclaré à la publication qu’il avait 18 ans et travaillait sur ses compétences en cybersécurité depuis plusieurs années, ajoutant que la faible sécurité d’Uber l’avait incité à compromettre son réseau.

Une fois qu’il y a eu accès, le pirate a envoyé un message Slack aux employés qui disait : « J’annonce que je suis un pirate et Uber a subi une violation de données. » Il a répertorié plusieurs bases de données compromises et a semblé demander aux chauffeurs Uber de recevoir un salaire plus élevé. Uber a mis hors ligne ses systèmes internes Slack et d’ingénierie plus tôt dans la journée alors qu’il enquêtait sur la violation.

Sam Curry, un ingénieur en sécurité chez Yuga Labs qui a correspondu avec le pirate informatique, a déclaré que la personne avait un accès administrateur complet aux services Web Amazon et Google Cloud d’Uber. « Il semble que ce soit peut-être ce gamin qui est entré dans Uber et ne sait pas quoi en faire, et qui passe le meilleur moment de sa vie », a déclaré Curry.

Dans un communiqué officiel, Uber a écrit : « Nous répondons actuellement à un incident de cybersécurité. Nous sommes en contact avec les forces de l’ordre et publierons des mises à jour supplémentaires ici dès qu’elles seront disponibles. »

Outre son âge, on sait peu de choses sur le pirate informatique, même si l’on suppose qu’il est britannique; un employé a dit qu’il a utilisé le mot « branleurs », et il peut utiliser le nom d’utilisateur « teapots2022 ». Il a également accédé au compte de prime de bogue de la vulnérabilité HackerOne d’Uber et a laissé des commentaires sur plusieurs tickets de rapport.

D’un employé d’Uber :

N’hésitez pas à partager mais s’il vous plaît ne me créditez pas : chez Uber, nous avons reçu un e-mail « URGENT » de la sécurité informatique disant d’arrêter d’utiliser Slack. Maintenant, chaque fois que je demande un site Web, je suis redirigé vers une page SUPPRIMÉE avec une image pornographique et le message « F *** you wankers ».

—Sam Curry (@samwcyo) 16 septembre 2022

Selon Acronis RSSI Kevin Reed, le pirate a accédé aux systèmes de production, à la console EDR (détection et réponse des terminaux) de l’entreprise et à l’interface de gestion Slack d’Uber. On ne sait toujours pas comment il a contourné le 2FA après avoir volé le mot de passe de l’employé d’Uber, et nous ne savons toujours pas si les informations du client ont été consultées.

La violation est comparée à l’incident de 2016 au cours duquel les noms, adresses e-mail et numéros de téléphone de 50 millions de clients Uber, ainsi que les données personnelles de 7 millions de chauffeurs, ont été volés. Uber a payé 100 000 $ aux pirates responsables pour supprimer les données et empêcher que l’incident ne soit rendu public, et il a dissimulé la violation pendant plus d’un an. La société a dû payer un règlement de 148 millions de dollars pour le piratage et son incapacité à divulguer ce qui s’est passé.