Comment un adolescent de 18 ans a piraté Uber sans pirater un seul système

Le 16 septembre était une journée normale dans Slack pour le personnel d'Uber. Les membres de l'équipe discutaient de leurs horaires pour la semaine et des dernières mises à jour sur leurs projets. Idéalement, quelques canaux étaient remplis des plaisanteries habituelles et des conversations inutiles, tandis que d'autres étaient silencieux, attendant que quelqu'un rompe le silence.

Sûr de dire, rien ne semblait hors de propos. Pas même un nouvel utilisateur qui avait rejoint la chaîne de l'entreprise. Cet utilisateur a utilisé le nom "Nwave" sans photo de profil, biographie ou description de poste. Mais personne n'y prêtait attention - aucun membre du personnel n'avait de raison de le faire. Les travailleurs modifient les profils tout le temps.

Ensuite, quelque chose d'autre s'est produit. Le nouveau venu a annoncé avoir piraté les données d'Uber. D'après les captures d'écran publié sur les plateformes de médias sociaux , le message indique :

Un déluge d'emojis a suivi l'annonce - sirènes satiriques, pop-corn décontractés, visages moqueurs et alarmes légères. L'effronterie du message, pour le personnel, ressemblait à une farce de TikTok. Ils ont pensé que c'était une blague et ont créé des GIF pour mémoriser la situation. Certains ont même commencé à interagir avec le pirate informatique.

À ce moment-là, personne ne savait l'étendue du piratage et qu'un intrus de 18 ans qui avait appris la cybersécurité utilisait Uber comme terrain d'entraînement. Plus important encore, le personnel ne savait pas que de telles nouvelles feraient la une du journal New York Times , provoquant plusieurs alertes de sécurité de la part des partenaires et des réactions de l'industrie de la cybersécurité.

Tout d'abord, comment la violation d'Uber s'est-elle produite ? Commençons par décortiquer l'annonce.

Je suis un hacker, et Uber a subi une violation de données... '

Un pirate possède une connaissance avancée des systèmes et des réseaux informatiques et peut utiliser cette connaissance pour s'introduire ou « pirater » les systèmes d'autres personnes. Il existe trois types de pirates :

• Black Hat : Un hacker black hat utilise ses compétences, de manière malveillante, pour accéder ou autrement perturber les systèmes et réseaux informatiques. Ils le font généralement sans autorisation et souvent pour causer du tort, comme voler des informations ou de l'argent.

• Chapeau blanc : un hacker chapeau blanc utilise ses compétences pour de bon en trouvant des failles de sécurité dans les systèmes et en signalant leur correction avant que des dommages réels ne soient causés.

• Chapeau gris : un hacker chapeau gris effectue des activités de piratage mais peut ne pas avoir de motifs malveillants derrière ses actions. Au lieu de cela, ils pourraient être intéressés à apprendre comment les choses fonctionnent ou à jouer avec les nouvelles technologies pour s'amuser.

  
  

Dans un article publié par Institut Infosec , il y a un avantage psychologique à profiler les pirates en mettant l'accent sur la sensibilisation à la sécurité. Pourtant, il y a un niveau auquel le profilage peut aller si nous devons détourner l'influence du pirate vers le piraté. Dans le cas d'Uber, ce dernier a prévalu.

Il n'y avait nulle part où le pirate de l'air était nommé. Tout ce que nous savons de lui, c'est qu'il s'agit d'un adolescent (18 ans) qui prétendait avoir acquis des compétences en cybersécurité. Mais Uber dit ils sont affiliés à Lapsus$ , un groupe de piratage notoire. Pourtant, sont-ils des black-hat, des white-hat ou des grey-hat ? D'autres détails le révéleront. Regardons la brèche.

Une violation ou une fuite de données est un incident de sécurité au cours duquel un accès non autorisé aux données se produit. Les données consultées peuvent être confidentielles, privées ou publiques. Un Rapport IBM évalue le coût total d'une violation de données aux États-Unis à 4,24 millions de dollars en 2022.

Les statistiques se sont resserrées. UN Etude Comparitech indique que la Californie est l'État qui a subi le plus de violations de données aux États-Unis en 15 ans. Fait inquiétant, Uber est basé à San Francisco, en Californie. Pourtant, nous ne pouvons pas juger de l'impact de la violation ou tirer des conclusions sur le pirate tant que nous ne savons pas ce qui a été volé ou exposé.

... Slack a été volé, des données confidentielles, ainsi que des secrets de baskets…'

Slack est un outil de communication populaire pour les organisations, souvent appelé « le Facebook d'entreprise ». C'est un excellent moyen de tenir tout le monde dans votre entreprise au courant des projets, car cela aide les équipes à partager des documents et des fichiers.

En raison de ses multiples fonctionnalités de collaboration et de ses avantages d'intégration, Slack offre plus de 10 millions utilisateurs actifs. De plus, 65% des Fortune 100 paient pour la plateforme, sans oublier les 750 000 organisations, selon DMR .

Malgré ses avantages, Slack n'est pas à l'abri des cybermenaces. La croissance de son nombre d'utilisateurs en fait souvent une cible d'infiltration pour les pirates. Si les pirates de l'air ne ciblent pas la plate-forme dans son ensemble, ils recherchent des entreprises individuelles sur la plate-forme à violer.

En 2015, Le mou a souffert une cyberattaque majeure. L'impact a conduit à l'adoption de l'authentification à deux facteurs. Bien que l'entreprise n'ait pas été complètement piratée depuis lors, elle a servi de porte dérobée pour infiltrer d'autres entreprises. Géant des réseaux sociaux, Twitter , a été piraté via Slack en 2020 ; Créateur de jeux vidéo, Arts électroniques , en 2021 ; et maintenant le service de covoiturage, Uber.

Dans toutes ces violations, les entreprises ont perdu plusieurs éléments de données d'une valeur de plusieurs centaines de dollars. C'est pareil pour Uber. Le pirate a mentionné avoir volé Atlassian Confluence d'Uber, des données stockées appelées stash et deux dépôts mono (un référentiel unique avec de nombreux projets) du logiciel multiplateforme Phabricator. Ils ont en outre partagé qu'ils avaient des secrets prêts à être divulgués à partir de baskets et ont publié des captures d'écran pour les sauvegarder.

Uber, dans son rapport , a confirmé l'accès non autorisé. Il a réduit le vol aux communications internes et aux systèmes d'ingénierie, qui comprenaient le serveur Slack, la console AWS, Google Workspace, les machines virtuelles VMware, les comptes de messagerie d'entreprise et, plus important encore, le programme HackerOne Bug Bounty de l'entreprise, où les chercheurs discutent des vulnérabilités informatiques critiques.

uberunderpaisdrives

La déclaration la plus profonde de l'annonce est sans aucun doute le hashtag #uberunderpaysdrivers , mal orthographié comme #uberunderpaisdrives. Il n'est pas rare que des pirates informatiques utilisent leurs compétences pour provoquer des changements sociaux ou économiques, ou faire une déclaration politique. Mais cela qualifie-t-il l'action de cet intrus de chapeau blanc, de chapeau noir ou de chapeau gris ?

En surface, Uber pourrait sous-payer les chauffeurs. En 2017, la société de covoiturage reconnu avoir accidentellement sous-payé cavaliers à New York depuis plus de deux ans. Cependant, en y regardant de plus près, les pirates sont connus pour se cacher sous le plaidoyer social pour gagner les sentiments du public.

Ainsi, étiqueter l'intrus semble précipité. L'étendue des dégâts est inconnue car les enquêtes se poursuivent. On ne sait pas si ce pirate a eu accès aux données sensibles des clients et ce qu'il prévoyait d'en faire. Alors que la ou les personnes se sont présentées au New York Times et même a partagé sa chaîne Telegram pour une discussion de chapeau blanc , faire partie de Lapsus$ est un chapeau noir pour un schéma plus large .

La viande : comment le hacker est entré

Selon une série de tweets de Corben Léo , CMO Zellic.io, Sam Curry , ingénieur en sécurité, Yugalabs, et VX-Métro , le pirate a utilisé l'ingénierie sociale plus la fatigue MFA.

L'ingénierie sociale utilise l'interaction et la manipulation humaines pour accéder aux systèmes informatiques. Les ingénieurs sociaux utilisent la tromperie, l'influence et la persuasion pour amener les gens à divulguer des informations confidentielles, à effectuer des actions ou à installer des logiciels qui compromettent la sécurité. Ils se font souvent passer pour des membres de l'organisation ou de l'entreprise cible, ou ils peuvent se faire passer pour quelqu'un d'autre (par exemple, un agent des forces de l'ordre).

PurpleSec rapporte que plus de 98 % des cyberattaques s'appuient sur l'ingénierie sociale pour montrer la gravité de cette forme d'attaque.

La fatigue MFA fait référence aux utilisateurs qui s'ennuient avec l'authentification multifacteur (MFA) et choisissent de ne pas s'y conformer finalement. Cela se produit pour plusieurs raisons, mais la plus courante est que les utilisateurs trouvent la MFA trop gênante ou ennuyeuse. Dans le cas d'Uber, cela s'est passé ainsi :

• Le pirate a utilisé plusieurs techniques d'ingénierie sociale pour compromettre le compte d'un employé d'Uber (probablement des employés).
• L'attaquant a envoyé des notifications répétées sur la nécessité d'une MFA à partir de son compte. Cela a entraîné une fatigue MFA chez l'employé, qui a finalement renoncé à la conformité.
• L'attaquant a ensuite envoyé un message WhatsApp se faisant passer pour un membre d'Uber IT, demandant l'approbation de la connexion. L'employé s'est conformé et leur a donné accès à leur compte Slack.
• Depuis Slack, l'attaquant a procédé à l'accès aux ressources du réseau, ciblant les scripts PowerShell.
• L'un des scripts contenait des informations d'identification codées en dur pour un compte administrateur, ce qui permettait à l'attaquant d'accéder à plusieurs autres systèmes.

La fatigue MFA n'est pas un nouveau vecteur d'attaque - elle a été utilisée contre MailChimp et Twilio en août de cette année. En fait, Uber a subi un sort similaire en 2016, lorsqu'il a perdu des données sensibles au profit d'intrus.

Leçons de cybersécurité tirées de la violation d'Uber

La violation a incité de nombreux experts à donner leur avis sur ce que les entreprises peuvent faire pour empêcher que ces types d'attaques ne se produisent à l'avenir. Vous trouverez ci-dessous des leçons préliminaires provenant d'experts en cybersécurité sur CyberWire :

#1. Les attaquants ont l'avantage

Jai Dargan, chef de cabinet d'Axio, nous rappelle à nouveau que les attaques sont inévitables. Même si nous ne savons pas qui est derrière cette attaque, il est prudent de supposer qu'ils sont bien financés et très motivés. Pour souligner l'impact, le Rapport d'analyse du Forum économique mondial place les cyberattaques et la fraude de données au troisième rang des perspectives les plus inquiétantes pour les entreprises.

Le piratage nous donne également un aperçu de l'évolution des attaquants. Jyoti Bansal, co-fondateur et PDG de Traceable AI, a déclaré: "La violation d'Uber est un exemple de la façon dont les attaquants ont un tel avantage sur les défenseurs et de la façon dont leurs objectifs ont évolué." Les attaquants ne recherchent plus un profit rapide comme ils le faisaient par le passé. Maintenant, ils essaient de voler des données pour une utilisation future, ce qui signifie que les défenseurs doivent suivre l'approche.

#2. MFA n'est pas suffisant

L'authentification multifactorielle (MFA) est la norme depuis des années. Cependant, il n'est plus fiable, compte tenu de toutes les façons dont les attaquants peuvent le contourner. CyberArk a réalisé une analyse et ont trouvé au moins quatre façons de contourner l'AMF ou de diminuer ses avantages. Le résultat indique que l'AMF, seule, n'est pas suffisante.

Au lieu de cela, Darryl Athans, vice-président pour l'Amérique du Nord chez SENHASEGURA, souhaite que les organisations incluent la gestion des accès privilégiés (PAM) et l'analyse du comportement des utilisateurs et des entités (UEBA) dans leur MFA. Le premier garantit que seuls les utilisateurs autorisés ont accès aux données sensibles. Ce dernier surveille le comportement des utilisateurs et détecte les anomalies pour identifier les menaces potentielles avant qu'elles ne deviennent un problème.

#3. Les liens humains sont faibles

La violation d'Uber rappelle que les humains sont parmi les maillons les plus faibles de tout système de sécurité. Un mot de passe fort et une authentification à deux facteurs ne suffisent pas lorsqu'une personne peut appeler votre opérateur de téléphonie mobile et se faire passer pour vous. L'ancien directeur de la NSA, l'amiral Michael S. Rogers, pense que la solution consiste à accroître la sensibilisation des utilisateurs à la sécurité. Voici les moyens proposés pour y parvenir :

• Éduquez vos utilisateurs sur les risques d'ingénierie sociale et sur la manière de les éviter.

• Assurez-vous que vos employés prennent le temps de changer régulièrement leurs mots de passe et utilisez un gestionnaire de mots de passe sécurisé pour les aider à le faire.

• Créez une campagne de sensibilisation sur la fatigue MFA, y compris des informations sur ce que c'est, son impact sur la cybersécurité et ce qu'ils peuvent faire.

• Formez vos employés à reconnaître les notifications de phishing. Cela les aidera à détecter les alertes malveillantes avant qu'ils ne tombent amoureux d'eux.

  
  

#4. La confiance zéro est une nécessité

Une autre leçon est la nécessité d'éliminer la confiance implicite en vérifiant et en validant chaque étape du processus de sécurité. Faire cela est connu sous le nom de confiance zéro, et selon un rapport d'IBM , cela permet de réduire les coûts. C'est souvent 1,76 million de dollars de moins dans les entreprises adoptant la confiance zéro par rapport à celles qui n'adoptent pas.

John Dasher, vice-président du marketing produit chez Banyan Security, estime que la solution consiste à consolider les faiblesses humaines grâce à une technologie solide de confiance zéro. En adoptant une stratégie de confiance zéro, en utilisant le principe d'accès au moindre privilège et en employant la confiance des appareils, vous pouvez aider à éliminer le jugement humain de l'équation.

Quelle est la prochaine étape pour Uber après la brèche ?

Uber a annoncé qu'il ramenait son outil logiciel interne après l'avoir retiré par précaution suite à la violation. Les services sont maintenant opérationnels. Dans son dernier rapport, il a déclaré qu'aucune donnée utilisateur sensible n'avait été compromise. Cependant, les experts ont estimé que la brèche était un accès profond.

Selon une étude de Comparitech , les entreprises qui subissent des violations sous-performent sur le marché en raison d'une mauvaise perception de la marque. La violation a déjà eu un impact sur les performances d'Uber sur le marché. En vérifiant mardi, les actions (NYSE : UBER) se sont négociées en baisse de 0,35 % à 31,38 $ avant la commercialisation. Il reste à voir comment Uber gère cette situation, s'ils peuvent ou non rebondir assez rapidement pour les investisseurs et les clients.

Actualisé

La police britannique a arrêté le pirate présumé à l'origine de la violation d'Uber, dont le nom s'est révélé être Tea Pot (alias teapotuberhacker). Le jeune homme aurait environ 17 ans et n'en a pas 18 comme on le croyait auparavant.

Selon un tweet de la police de la ville de Londres , il a été arrêté dans l'Oxfordshire aux côtés de sept autres adolescents. Le pirate a utilisé "Breachbase" et "White" comme pseudonymes en ligne. Les rapports indiquent qu'il avait gagné environ 14 millions de dollars grâce aux cybercrimes.