La dévastation d’Uber Hack commence à peine à se révéler

Le jeudi soir, Le géant du covoiturage Uber confirmé qu’il répondait à « un incident de cybersécurité » et contactait les forces de l’ordre au sujet de la violation. Une entité qui prétend être un pirate informatique de 18 ans a pris la responsabilité de l’attaque, se vantant auprès de plusieurs chercheurs en sécurité des mesures qu’ils ont prises pour pénétrer dans l’entreprise. L’attaquant aurait a posté, « Salut @ici, j’annonce que je suis un pirate informatique et qu’Uber a subi une violation de données », dans une chaîne sur Uber’s Slack jeudi soir. Le message Slack a également répertorié un certain nombre de bases de données et de services cloud Uber que le pirate prétend avoir piratés. Le message se serait terminé par la signature « uberunderpaisdrives ».

La société a temporairement suspendu l’accès jeudi soir à Slack et à certains autres services internes, selon Le New York Times, qui a d’abord signalé la violation. Dans une mise à jour de midi vendredi, la société a déclaré que « les outils logiciels internes que nous avons retirés par précaution hier reviennent en ligne ». Invoquant un langage séculaire de notification de violation, Uber a également déclaré vendredi qu’il n’avait « aucune preuve que l’incident impliquait l’accès à des données utilisateur sensibles (comme l’historique des trajets) ». Cependant, les captures d’écran divulguées par l’attaquant indiquent que les systèmes d’Uber ont peut-être été profondément et complètement compromis et que tout ce à quoi l’attaquant n’a pas eu accès peut avoir été le résultat d’un temps limité plutôt que d’une opportunité limitée.

« C’est décourageant, et Uber n’est certainement pas la seule entreprise contre laquelle cette approche fonctionnerait », déclare Cedric Owens, ingénieur en sécurité offensive, à propos des tactiques d’hameçonnage et d’ingénierie sociale que le pirate a prétendu utiliser pour violer l’entreprise. « Les techniques mentionnées dans ce hack jusqu’à présent sont assez similaires à ce que beaucoup d’équipes rouges, moi y compris, ont utilisées dans le passé. Donc, malheureusement, ces types de violations ne me surprennent plus.

L’agresseur, qui n’a pas pu être joint par WIRED pour un commentaire, réclamations qu’ils ont d’abord eu accès aux systèmes de l’entreprise en ciblant un employé individuel et en lui envoyant à plusieurs reprises des notifications de connexion d’authentification multifacteur. Après plus d’une heure, affirme l’attaquant, ils ont contacté la même cible sur WhatsApp en prétendant être un informaticien Uber et en disant que les notifications MFA s’arrêteraient une fois que la cible aurait approuvé la connexion.

Ces attaques, parfois appelées attaques de «fatigue MFA» ou «d’épuisement», tirent parti des systèmes d’authentification dans lesquels les propriétaires de compte doivent simplement approuver une connexion via une notification push sur leur appareil plutôt que par d’autres moyens, tels que la fourniture d’un code. Les hameçonnages à invite MFA sont de plus en plus nombreux populaire auprès des attaquants. Et en général, les pirates ont de plus en plus développé des attaques de phishing pour contourner l’authentification à deux facteurs à mesure que de plus en plus d’entreprises la déploient. La récente violation de Twilio, par exemple, a illustré à quel point les conséquences peuvent être désastreuses lorsqu’une entreprise qui fournit des services d’authentification multifacteur est elle-même compromise. Les organisations qui ont besoin de clés d’authentification physiques pour les connexions ont réussi à se défendre contre de telles attaques d’ingénierie sociale à distance.

L’expression « confiance zéro » est devenue un mot à la mode parfois dénué de sens dans le secteur de la sécurité, mais la violation d’Uber semble au moins montrer un exemple de ce que la confiance zéro n’est pas. Une fois que l’attaquant a eu un premier accès à l’intérieur de l’entreprise, il réclamer ils ont pu accéder à des ressources partagées sur le réseau qui comprenaient des scripts pour le programme d’automatisation et de gestion de Microsoft PowerShell. Les attaquants ont déclaré que l’un des scripts contenait des informations d’identification codées en dur pour un compte administrateur du système de gestion des accès Thycotic. Avec le contrôle de ce compte, l’attaquant a affirmé qu’il a pu obtenir des jetons d’accès pour l’infrastructure cloud d’Uber, y compris Amazon Web Services, GSuite de Google, le tableau de bord vSphere de VMware, le gestionnaire d’authentification Duo et le service critique de gestion des identités et des accès OneLogin.