C’est un piratage qui pourrait avoir de sérieuses répercussions sur Uber. Le réseau informatique de la célèbre entreprise de VTC a été compromis hier. Le hacker -qui a dit au New York Times être âgé de 18 ans seulement- a pu accéder à une quantité phénoménale d’informations sensibles.
D’après des captures d’écran réalisées par le pirate et notamment publiées sur Twitter, une bonne partie des ressources informatiques de l’entreprise sont passées sous son contrôle : dépôts de code source, messagerie interne, espace de stockage Google Drive, environnements Amazon Web Services et Google Cloud, données financières… La liste est longue. « Il a plus ou moins un accès complet à Uber » a indiqué l’ingénieur en sécurité Sam Curry au New York Times, premier média à avoir évoqué l’affaire.
Update: A Threat Actor claims to have completely compromised Uber – they have posted screenshots of their AWS instance, HackerOne administration panel, and more.
They are openly taunting and mocking @Uber. pic.twitter.com/Q3PzzBLsQY
— vx-underground (@vxunderground) September 16, 2022
Le hacker a annoncé son forfait sur la messagerie Slack de l’entreprise. « Hello @ici. Je vous informe que je suis un hacker et qu’Uber vient de subir une fuite de données » peut-on lire dans son message. Il détaille ensuite les services qu’il a pu détourner… Avant de conclure par un hashtag pour le moins direct : « Uber sous-paye les chauffeurs ».
Honestly kind of a classy way to hack someone 😂😂😂@Uber pic.twitter.com/fFUA5xb3wv
— Colton (@ColtonSeal) September 16, 2022
Une sortie qui fait croire à certains experts que le piratage aurait une motivation politique plutôt que financière, même s’il est beaucoup trop tôt pour tirer des conclusions hâtives. On constate au passage qu’au vu des réactions des employés de la firme, beaucoup ont cru à une blague. La direction d’Uber a, depuis, temporairement interdit l’usage de Slack.
Le New York Times a pu s’entretenir avec le hacker, sans doute par le biais de son adresse Telegram, qu’il a diffusée en ligne. Celui-ci lui a résumé les différentes étapes qui lui ont permis de prendre le contrôle des services de la firme.
Un hack presque trop facile
Celui qui se fait appeler « Tea Pot » sur Telegram a d’abord usé d’ingénierie sociale pour tromper un employé de la firme : il lui aurait envoyé un message texte en se faisant passer pour un membre de l’équipe de sécurité informatique du groupe. Cela lui aurait permis d’accéder au VPN de l’entreprise et donc à son intranet.
Dans un second temps, comme le rapporte le « hacker éthique » Corben Leo, Tea Pot aurait découvert plusieurs scripts Powershell dans un partage réseau. Grave problème, l’un de ces scripts recelait une information bien trop précieuse pour être ainsi partagée aux quatre vents, sans aucun chiffrement : la combinaison identifiant/mot de passe d’un compte administrateur d’un service particulièrement sensible (Thycotic, un service de gestion des comptes à privilèges). Avec ce sésame, il a ensuite pu déverrouiller l’accès à tous les secrets d’Uber.
Apparently there was an internal network share that contained powershell scripts…
"One of the powershell scripts contained the username and password for a admin user in Thycotic (PAM) Using this i was able to extract secrets for all services, DA, DUO, Onelogin, AWS, GSuite" pic.twitter.com/FhszpxxUEW
— Corben Leo (@hacker_) September 16, 2022
Uber a réagi de façon laconique à ce piratage. « Nous faisons face actuellement à un incident de cybersécurité. Nous sommes en contact avec les forces de l’ordre et publierons des mises à jour supplémentaires dès qu’elles seront disponibles ».
We are currently responding to a cybersecurity incident. We are in touch with law enforcement and will post additional updates here as they become available.
— Uber Comms (@Uber_Comms) September 16, 2022
Au vu de l’étendue du piratage, les conséquences pour l’entreprise et peut-être ses utilisateurs pourraient être désastreuses : le pirate a aisément pu dérober des données confidentielles, des codes sources, et pourquoi pas des données clients. Qu’il pourrait publier, ou revendre à d’autres cybercriminels.
Autre grave souci, le hacker a aussi eu accès à toutes les données HackerOne, d’Uber. Cette plate-forme de « bug bounty » permet à des hackers éthiques de remonter des vulnérabilités aux entreprises participantes, contre monnaie sonnante et trébuchante. Des données qui doivent évidemment rester confidentielles avant que les failles soient colmatées. Or, d’après une source anonyme de Bleeping Computer, Tea Pot a pris soin de télécharger tous les rapports de vulnérabilité avant de se voir couper l’accès. Et parmi ces rapports, il y aurait des vulnérabilités… non corrigées. Elles pourraient provoquer de nouveaux soucis de sécurité à Uber et ses utilisateurs dans le futur.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : The New York Times
