Il semble qu’Uber ait été piraté par un jeune de 18 ans. Comme découvert jeudi, le pirate de l’air a réussi à obtenir un accès administrateur complet aux comptes de domaine AWS, Duo, OneLogin, G Suite, VMware vSphere de l’entreprise, etc. Ils ont même mis en sac le code source d’Uber et ont envoyé des captures d’écran pour le prouver.
Pas un bon moment pour Uber alors. Mais ce qui m’intrigue vraiment, c’est la façon dont les gens sont censés avoir réagi lorsqu’on leur a demandé d’arrêter d’interagir avec le pirate informatique sur Slack – si vous travaillez dans l’informatique, vous devrez peut-être demander à un ami de vous retenir pour celui-ci.
Selon le New York Times (s’ouvre dans un nouvel onglet), la personne responsable du piratage d’Uber affirme avoir obtenu l’accès simplement en envoyant un SMS à un employé d’Uber se faisant passer pour l’équipe informatique de l’entreprise. Le pirate informatique, si nous pouvons même les appeler ainsi, a simplement persuadé l’employé de lui envoyer ses identifiants de connexion et, boum, un accès complet accordé.
L’ingénieur de Yuga Labs, Sam Curry, a posté sur Twitter à propos de l’événement, après avoir parlé au pirate apparent, qui prétend n’avoir que 18 ans. Ils ont envoyé des captures d’écran assez légitimes de systèmes internes pour prouver leur carrière.
Curry a parlé à certains employés d’Uber de leur expérience : « Chez Uber, nous avons reçu un e-mail « URGENT » de la sécurité informatique disant d’arrêter d’utiliser Slack », a déclaré un employé. « Maintenant, chaque fois que je demande un site Web, je suis redirigé vers une page SUPPRIMÉE avec une image pornographique et le message » F *** you wankers « . »
Un autre employé a déclaré: « Au lieu de faire quoi que ce soit, une bonne partie du personnel interagissait et se moquait du pirate en pensant que quelqu’un faisait une blague. Après avoir reçu l’ordre d’arrêter de se relâcher, les gens ont continué à faire des blagues. »
Quelqu’un a piraté le compte HackerOne d’un employé d’Uber et commente tous les tickets. Ils ont probablement accès à tous les rapports Uber HackerOne. pic.twitter.com/00j8V3kcoE16 septembre 2022
La chaîne Slack a finalement été mise hors ligne après qu’un message ait lu « J’annonce que je suis un pirate informatique et Uber a subi une violation de données ». Il a également énuméré un tas de systèmes auxquels ils prétendaient avoir accès. Ce qui est vraiment fou, c’est que puisqu’il ne semble pas y avoir de rime ou de raison derrière l’attaque « il semble que ce soit peut-être ce gamin qui est entré dans Uber et ne sait pas quoi en faire, et a le temps de sa vie », plaisante Curry.
Ars Technica (s’ouvre dans un nouvel onglet) rapporte que ce n’est pas la première fois qu’Uber est impliqué dans une violation de données. En 2016, Uber aurait omis de signaler une violation massive de données au cours de laquelle 57 millions de noms, d’e-mails et de numéros de téléphone de clients et de chauffeurs ont été volés. La société aurait omis de signaler l’incident à la Federal Trade Commission, choisissant plutôt de payer aux pirates une prime de bogue de 100 000 $ afin qu’ils suppriment les données et signent une NDA, et par embarras en faisant passer le tout dans le cadre d’un test de sécurité.
Cette fois, cela a entraîné le licenciement de l’un des principaux responsables de la sécurité d’Uber, Joe Sullivan, bien que ses avocats disent qu’il a été fait un bouc émissaire pour les chutes d’autres employés. (s’ouvre dans un nouvel onglet).
La récente attaque fait actuellement l’objet d’une enquête avec Le compte Twitter officiel d’Uber (s’ouvre dans un nouvel onglet) déclarant jeudi: « Nous répondons actuellement à un incident de cybersécurité. Nous sommes en contact avec les forces de l’ordre et publierons des mises à jour supplémentaires ici dès qu’elles seront disponibles. »
Comment les gens n’ont pas compris que donner votre mot de passe est une idée terrible maintenant, je ne le saurai jamais. Ils appellent cela l’ingénierie sociale, mais des attaques comme celle-ci demandent un effort si atrocement faible, un titre comme celui-là est franchement une insulte aux ingénieurs.
En bout de ligne ? Veuillez ne pas divulguer vos mots de passe, même si quelqu’un prétend appartenir à l’informatique. Cette équipe devrait déjà avoir accès à votre compte au cas où vous Oubliez votre mot de passe.