Le 16 septembre était une journée normale dans Slack pour le personnel d'Uber. Les membres de l'équipe discutaient de leurs horaires pour la semaine et des dernières mises à jour sur leurs projets. Idéalement, quelques canaux étaient remplis des plaisanteries habituelles et des conversations inutiles, tandis que d'autres étaient silencieux, attendant que quelqu'un rompe le silence.  Sûr de dire, rien ne semblait hors de propos. Pas même un nouvel utilisateur qui avait rejoint la chaîne de l'entreprise. Cet utilisateur a utilisé le nom "Nwave" sans photo de profil, biographie ou description de poste. Mais personne n'y prêtait attention - aucun membre du personnel n'avait de raison de le faire. Les travailleurs modifient les profils tout le temps.  Ensuite, quelque chose d'autre s'est produit. Le nouveau venu a annoncé   piraté les données d'Uber. D'après les captures d'écran  , le message indique :  avoir   publié sur les plateformes de médias sociaux  Un déluge d'emojis a suivi l'annonce - sirènes satiriques, pop-corn décontractés, visages moqueurs et alarmes légères. L'effronterie du message, pour le personnel, ressemblait à une farce de TikTok. Ils ont pensé que c'était une blague et ont créé des GIF pour mémoriser la situation. Certains ont même commencé à interagir avec le pirate informatique.   À ce moment-là, personne ne savait l'étendue du piratage et qu'un intrus de 18 ans qui avait appris la cybersécurité utilisait Uber comme terrain d'entraînement. Plus important encore, le personnel ne savait pas que de telles nouvelles feraient la une du journal  , provoquant plusieurs alertes de sécurité de la part des partenaires et des réactions de l'industrie de la cybersécurité.   New York Times  Tout d'abord, comment la violation d'Uber s'est-elle produite ? Commençons par décortiquer l'annonce.    ' Je suis un hacker, et Uber a subi une violation de données...  Un pirate possède une connaissance avancée des systèmes et des réseaux informatiques et peut utiliser cette connaissance pour s'introduire ou « pirater » les systèmes d'autres personnes. Il existe trois types de pirates :    : Un hacker black hat utilise ses compétences, de manière malveillante, pour accéder ou autrement perturber les systèmes et réseaux informatiques. Ils le font généralement sans autorisation et souvent pour causer du tort, comme voler des informations ou de l'argent. Black Hat    un hacker chapeau blanc utilise ses compétences pour de bon en trouvant des failles de sécurité dans les systèmes et en signalant leur correction avant que des dommages réels ne soient causés. Chapeau blanc :    un hacker chapeau gris effectue des activités de piratage mais peut ne pas avoir de motifs malveillants derrière ses actions. Au lieu de cela, ils pourraient être intéressés à apprendre comment les choses fonctionnent ou à jouer avec les nouvelles technologies pour s'amuser. Chapeau gris :  Dans un article publié par  , il y a un avantage psychologique à profiler les pirates en mettant l'accent sur la sensibilisation à la sécurité. Pourtant, il y a un niveau auquel le profilage peut aller si nous devons détourner l'influence du pirate vers le piraté. Dans le cas d'Uber, ce dernier a prévalu.   Institut Infosec  Il n'y avait nulle part où le pirate de l'air était nommé. Tout ce que nous savons de lui, c'est qu'il   d'un adolescent (18 ans) qui prétendait avoir acquis des compétences en cybersécurité. Mais    affiliés à  , un groupe de piratage notoire. Pourtant, sont-ils des black-hat, des white-hat ou des grey-hat ? D'autres détails le révéleront. Regardons la brèche. s'agit   Uber dit ils sont   Lapsus$  Une violation ou une fuite de données est un incident de sécurité au cours duquel un accès non autorisé aux données se produit. Les données consultées peuvent être confidentielles, privées ou publiques. Un  évalue le coût total d'une violation de données aux États-Unis à 4,24 millions de dollars en 2022.   Rapport IBM  Les statistiques se sont resserrées. UN  indique que la Californie est l'État qui a subi le plus de violations de données aux États-Unis en 15 ans. Fait inquiétant, Uber est basé à San Francisco, en Californie. Pourtant, nous ne pouvons pas juger de l'impact de la violation ou tirer des conclusions sur le pirate tant que nous ne savons pas ce qui a été volé ou exposé.   Etude Comparitech   ... Slack a été volé, des données confidentielles, ainsi que des secrets de baskets…'  Slack est un outil de communication populaire pour les organisations, souvent appelé « le Facebook d'entreprise ». C'est un excellent moyen de tenir tout le monde dans votre entreprise au courant des projets, car cela aide les équipes à partager des documents et des fichiers.  En raison de ses multiples fonctionnalités de collaboration et de ses avantages d'intégration, Slack offre  utilisateurs actifs. De plus, 65% des Fortune 100 paient pour la plateforme, sans oublier les 750 000 organisations, selon  .   plus de 10 millions   DMR  Malgré ses avantages, Slack n'est pas à l'abri des cybermenaces. La croissance de son nombre d'utilisateurs en fait souvent une cible d'infiltration pour les pirates. Si les pirates de l'air ne ciblent pas la plate-forme dans son ensemble, ils recherchent des entreprises individuelles sur la plate-forme à violer.  En 2015,  une cyberattaque majeure. L'impact a conduit à l'adoption de l'authentification à deux facteurs. Bien que l'entreprise n'ait pas été complètement piratée depuis lors, elle a servi de porte dérobée pour infiltrer d'autres entreprises. Géant des réseaux sociaux,  , a été piraté via Slack en 2020 ; Créateur de jeux vidéo,  , en 2021 ; et maintenant le service de covoiturage, Uber.   Le mou a souffert   Twitter   Arts électroniques  Dans toutes ces violations, les entreprises ont perdu plusieurs éléments de données d'une valeur de plusieurs centaines de dollars. C'est pareil pour Uber. Le pirate a mentionné avoir volé Atlassian Confluence d'Uber, des données stockées appelées   et deux dépôts mono (un référentiel unique avec de nombreux projets) du logiciel multiplateforme Phabricator.   en outre partagé qu'ils avaient des secrets   à partir de baskets et ont publié des captures d'écran pour les sauvegarder.  stash Ils ont prêts à être divulgués  Uber,  , a confirmé l'accès non autorisé. Il a réduit le vol aux communications internes et aux systèmes d'ingénierie, qui comprenaient le serveur Slack, la console AWS, Google Workspace, les machines virtuelles VMware, les comptes de messagerie d'entreprise et, plus important encore, le programme HackerOne Bug Bounty de l'entreprise, où les chercheurs discutent des vulnérabilités informatiques critiques.   dans son rapport  uberunderpaisdrives  La déclaration la plus profonde de l'annonce est sans aucun doute le hashtag   , mal orthographié comme #uberunderpaisdrives. Il n'est pas rare que des pirates informatiques utilisent leurs compétences pour provoquer des changements sociaux ou économiques, ou faire une déclaration politique. Mais cela qualifie-t-il l'action de cet intrus de chapeau blanc, de chapeau noir ou de chapeau gris ? #uberunderpaysdrivers  En surface, Uber pourrait sous-payer les chauffeurs. En 2017, la société de covoiturage  cavaliers à New York depuis plus de deux ans. Cependant, en y regardant de plus près, les pirates sont connus pour se cacher sous le plaidoyer social pour gagner les sentiments du public.   reconnu avoir accidentellement sous-payé  Ainsi, étiqueter l'intrus semble précipité. L'étendue des dégâts est inconnue car les enquêtes se poursuivent. On ne sait pas si ce pirate a eu accès aux données sensibles des clients et ce   prévoyait d'en faire. Alors que la ou les personnes   sont présentées au New York Times et même  pour   , faire partie de Lapsus$ est   . qu'il se  a      partagé sa chaîne Telegram une discussion de chapeau blanc un chapeau noir pour un schéma plus large  La viande : comment le hacker est entré  Selon une série de tweets de  , CMO Zellic.io,  , ingénieur en sécurité, Yugalabs, et  , le pirate a utilisé l'ingénierie sociale plus la fatigue MFA.   Corben Léo   Sam Curry   VX-Métro  L'ingénierie sociale utilise l'interaction et la manipulation humaines pour accéder aux systèmes informatiques. Les ingénieurs sociaux utilisent la tromperie, l'influence et la persuasion pour amener les gens à divulguer des informations confidentielles, à effectuer des actions ou à installer des logiciels qui compromettent la sécurité. Ils se font souvent passer pour des membres de l'organisation ou de l'entreprise cible, ou ils peuvent se faire passer pour quelqu'un d'autre (par exemple, un agent des forces de l'ordre).    que plus de 98 % des cyberattaques s'appuient sur l'ingénierie sociale pour montrer la gravité de cette forme d'attaque. PurpleSec rapporte  La fatigue MFA fait référence aux utilisateurs qui s'ennuient avec l'authentification multifacteur (MFA) et choisissent de ne pas s'y conformer finalement. Cela se produit pour plusieurs raisons, mais la plus courante est que les utilisateurs trouvent la MFA trop gênante ou ennuyeuse. Dans le cas d'Uber, cela s'est passé ainsi :   Le pirate a utilisé plusieurs techniques d'ingénierie sociale pour compromettre le compte d'un employé d'Uber (probablement des employés).  L'attaquant a envoyé   sur la nécessité d'une MFA à partir de son compte. Cela a entraîné une fatigue MFA chez l'employé, qui a finalement renoncé à la conformité. des notifications répétées  L'attaquant a ensuite envoyé un message WhatsApp se faisant passer pour un membre d'Uber IT, demandant l'approbation de la connexion. L'employé s'est conformé et leur a donné accès à leur compte Slack.  Depuis Slack, l'attaquant a procédé à l'accès aux ressources du réseau, ciblant les scripts PowerShell.  L'un des scripts contenait des informations d'identification codées en dur pour un compte administrateur, ce qui permettait à l'attaquant d'accéder à plusieurs autres systèmes.  La fatigue MFA n'est pas un nouveau vecteur d'attaque - elle a été utilisée contre  et  en août de cette année. En fait, Uber a subi un sort similaire en 2016, lorsqu'il a perdu des données sensibles au profit d'intrus.   MailChimp   Twilio  Leçons de cybersécurité tirées de la violation d'Uber  La violation a incité de nombreux experts à donner leur avis sur ce que les entreprises peuvent faire pour empêcher que ces types d'attaques ne se produisent à l'avenir. Vous trouverez ci-dessous des leçons préliminaires provenant d'experts en cybersécurité sur CyberWire :   #1. Les attaquants ont l'avantage  Jai Dargan, chef de cabinet d'Axio, nous rappelle à nouveau que les attaques sont inévitables. Même si nous ne savons pas qui est derrière cette attaque, il est prudent de supposer qu'ils sont bien financés et très motivés. Pour souligner l'impact, le  place les cyberattaques et la fraude de données au troisième rang des perspectives les plus inquiétantes pour les entreprises.   Rapport d'analyse du Forum économique mondial  Le piratage nous donne également un aperçu de l'évolution des attaquants. Jyoti Bansal, co-fondateur et PDG de Traceable AI, a déclaré: "La violation d'Uber est un exemple de la façon dont les attaquants ont un tel avantage sur les défenseurs et de la façon dont leurs objectifs ont évolué." Les attaquants ne recherchent plus un profit rapide comme ils le faisaient par le passé. Maintenant, ils essaient de voler des données pour une utilisation future, ce qui signifie que les défenseurs doivent suivre l'approche.   #2. MFA n'est pas suffisant  L'authentification multifactorielle (MFA) est la norme depuis des années. Cependant, il n'est plus fiable, compte tenu de toutes les façons dont les attaquants peuvent le contourner.  et ont trouvé au moins quatre façons de contourner l'AMF ou de diminuer ses avantages. Le résultat indique que l'AMF, seule, n'est pas suffisante.   CyberArk a réalisé une analyse  Au lieu de cela, Darryl Athans, vice-président pour l'Amérique du Nord chez SENHASEGURA, souhaite que les organisations incluent la gestion des accès privilégiés (PAM) et l'analyse du comportement des utilisateurs et des entités (UEBA) dans leur MFA. Le premier garantit que seuls les utilisateurs autorisés ont accès aux données sensibles. Ce dernier surveille le comportement des utilisateurs et détecte les anomalies pour identifier les menaces potentielles avant qu'elles ne deviennent un problème.   #3. Les liens humains sont faibles  La violation d'Uber rappelle que les humains sont parmi les maillons les plus faibles de tout système de sécurité. Un mot de passe fort et une authentification à deux facteurs ne suffisent pas lorsqu'une personne peut appeler votre opérateur de téléphonie mobile et se faire passer pour vous. L'ancien directeur de la NSA, l'amiral Michael S. Rogers, pense que la solution consiste à accroître la sensibilisation des utilisateurs à la sécurité. Voici les moyens proposés pour y parvenir :  Éduquez vos utilisateurs sur les risques d'ingénierie sociale et sur la manière de les éviter.  Assurez-vous que vos employés prennent le temps de changer régulièrement leurs mots de passe et utilisez un gestionnaire de mots de passe sécurisé pour les aider à le faire.  Créez une campagne de sensibilisation sur la fatigue MFA, y compris des informations sur ce que c'est, son impact sur la cybersécurité et ce qu'ils peuvent faire.  Formez vos employés à reconnaître les notifications de phishing. Cela les aidera à détecter les alertes malveillantes avant qu'ils ne tombent amoureux d'eux.   #4. La confiance zéro est une nécessité  Une autre leçon est la nécessité d'éliminer la confiance implicite en vérifiant et en validant chaque étape du processus de sécurité. Faire cela est connu sous le nom de confiance zéro, et selon  , cela permet de réduire les coûts. C'est souvent 1,76 million de dollars de moins dans les entreprises adoptant la confiance zéro par rapport à celles qui n'adoptent pas.   un rapport d'IBM  John Dasher, vice-président du marketing produit chez Banyan Security, estime que la solution consiste à consolider les faiblesses humaines grâce à une technologie solide de confiance zéro. En adoptant une stratégie de confiance zéro, en utilisant le principe d'accès au moindre privilège et en employant la confiance des appareils, vous pouvez aider à éliminer le jugement humain de l'équation.  Quelle est la prochaine étape pour Uber après la brèche ?  Uber a annoncé qu'il ramenait son outil logiciel interne après l'avoir retiré par précaution suite à la violation. Les services sont maintenant opérationnels. Dans son dernier rapport, il a déclaré qu'aucune donnée utilisateur sensible n'avait été compromise. Cependant, les experts ont estimé que la brèche était un accès profond.  Selon  , les entreprises qui subissent des violations sous-performent sur le marché en raison d'une mauvaise perception de la marque. La violation a déjà eu un impact sur les performances d'Uber sur le marché. En vérifiant mardi, les actions (NYSE : UBER) se sont négociées en baisse de 0,35 % à 31,38 $ avant la commercialisation. Il reste à voir comment Uber gère cette situation, s'ils peuvent ou non rebondir assez rapidement pour les investisseurs et les clients.   une étude de Comparitech   Actualisé  La police britannique a arrêté le pirate présumé à l'origine de la violation d'Uber, dont le nom s'est révélé être Tea Pot (alias teapotuberhacker). Le jeune homme aurait environ 17 ans et n'en a pas 18 comme on le croyait auparavant.  Selon un   , il a été arrêté dans l'Oxfordshire aux côtés de sept autres adolescents. Le pirate a utilisé "Breachbase" et "White" comme pseudonymes en ligne. Les rapports indiquent qu'il avait gagné environ 14 millions de dollars grâce aux cybercrimes. tweet de la police de la ville de Londres

This story contains new, firsthand information uncovered by the writer.

ATLASSIAN

Facebook

Google

Slack

Twilio

Twitter

Uber

2022 - Gaming Guru of the Year

2022 - HackerNoon Contributor of the Year - Future Of Finance

Winner, Hackernoon Contributor of the Year - Future Of Finance

First Runner-up, Hackernoon Gaming Guru of the Year

Check Out Portfolio

Book a Call

Hire Me

Cet audio est produit dans la langue originale de l'histoire !

Trop long; Pour lire

Boost your HackerNoon story @ $159.99! 🚀

Comment un adolescent de 18 ans a piraté Uber sans pirater un seul système

Comment un adolescent de 18 ans a piraté Uber sans pirater un seul système

About Author

COMMENTAIRES

ÉTIQUETTES

CET ARTICLE A ÉTÉ PARU DANS

Related Stories

La fuite de l'invite du système Claude Sonnet 3.5 : une analyse médico-légale

Le modèle Bitcoin UTXO, alimentant un écosystème unique

Comment améliorer votre flux de travail par 10 : 17 applications essentielles

Créer des produits cryptographiques centrés sur l'utilisateur : l'importance des retours clients

La fuite de l'invite du système Claude Sonnet 3.5 : une analyse médico-légale

Le modèle Bitcoin UTXO, alimentant un écosystème unique

Comment améliorer votre flux de travail par 10 : 17 applications essentielles

Créer des produits cryptographiques centrés sur l'utilisateur : l'importance des retours clients

Light-Mode

Classic

Newspaper

Dark-Mode

Neon Noir

Minty

HN StartUps