Le voile commence à se lever sur le piratage d'Uber ayant permis d'accéder à un très grand nombre de services et solutions informatiques internes du groupe, incluant son domaine Windows et sa messagerie Slack. Le service de VTC américain fournit ainsi des précisions sur la façon dont ses systèmes ont pu être hackés. « Un sous-traitant d'Uber a vu son compte compromis par un attaquant. Il est probable que l'attaquant ait acheté le mot de passe d'entreprise Uber du fournisseur sur le dark web, après que son terminal personnel ait été infecté par un logiciel malveillant, exposant ces informations d'identification », a expliqué le groupe américain. « L'attaquant a ensuite tenté à plusieurs reprises de se connecter au compte Uber du fournisseur. À chaque fois, il a reçu une demande d'approbation de connexion à double facteur, qui bloquait initialement l'accès. Finalement, cependant, en a accepté un et l'attaquant s'est connecté avec succès ».

Concernant l'origine de cette cyberattaque, Uber soupçonne un pirate affilié au cybergang Lapsus$ d'avoir été à la manoeuvre. « Ce groupe utilise généralement des techniques similaires pour cibler les entreprises IT et, rien qu'en 2022, a violé Microsoft, Cisco, Samsung, Nvidia et Okta, entre autres. Il y a également eu des articles au cours du week-end selon lesquels ce même acteur a piraté le fabricant de jeux vidéo Rockstar Games. Nous sommes en étroite coordination avec le FBI et le ministère américain de la Justice sur cette question et continuerons à soutenir leurs efforts », avance Uber.

Les données clients épargnées

En termes de portée de l'attaque, Uber indique que le pirate n'a pas eu accès aux systèmes de production qui alimentant ses applications, aux comptes clients ainsi qu'à ses bases de données contenant des données utilisateurs sensibles (cartes de crédit, informations de compte bancaire, historique des courses...). « Nous chiffrons également les informations de carte de crédit et les données personnelles de santé, offrant une couche de protection supplémentaire », poursuit la société. « Nous avons examiné notre base de code et n'avons pas constaté que l'attaquant avait apporté des modifications ». Le groupe indique par ailleurs que le pirate n'a pas accédé à des données de clients ou d'employés stockées par des fournisseurs cloud, mais vérifie que Slack n'ait pas été utilisé pour traiter certaines factures. Concernant les rapports de vulnérabilités auxquels le pirate a pu accéder, Uber précise que toutes les failles signalées ont été corrigées.

Suite à cette intrusion, Uber indique avoir identifié les comptes d'employés - potentiellement ou vraiment - compromis et bloqué leur accès à ses systèmes et d'avoir opéré une réinitialisation des mots de passe. « Nous avons désactivé de nombreux outils internes concernés ou potentiellement concernés. Nous avons effectué une rotation des clés à bon nombre de nos services internes. Nous avons verrouillé notre base de code, empêchant tout nouveau changement de code. Lors de la restauration de l'accès aux outils internes, nous demandons aux employés de se re-authentifier. Nous renforçons également nos politiques d'authentification multi-facteurs. Nous avons ajouté une surveillance supplémentaire de notre environnement interne pour garder un œil encore plus attentif sur toute autre activité suspecte », fait aussi savoir Uber.