Le réseau informatique d’Uber était piraté par un cyberattaquant jeudi dernier, qui, selon Uber, a maintenant piraté le compte d’un sous-traitant EXT après avoir probablement acheter les informations d’identification de l’employé sur le dark web. Dans un article de blog lundi, Uber a déclaré qu’il était probable que l’appareil personnel de l’entrepreneur ait été infecté par des logiciels malveillants, ce qui aurait rendu ces informations d’identification exposées.

Bien qu’Uber ait mis en place des mesures de sécurité en ligne pour les connexions des employés, l’entrepreneur a accepté sans le savoir une notification de vérification qui a finalement accordé l’accès à l’attaquant, a déclaré la société de covoiturage. À partir de là, l’attaquant a accédé à plusieurs comptes d’employés et à des outils tels que G-Suite et Slack.

Uber a blâmé le groupe de piratage Lapsus$, qui a utilisé des attaques similaires pour violer Microsoft, Cisco, Samsung, Nvidia, Okta et d’autres en 2022.

Uber a également confirmé un rapport la semaine dernière selon lequel le pirate a envoyé un message à un Slack à l’échelle de l’entreprise et “a reconfiguré OpenDNS d’Uber pour afficher une image graphique aux employés sur certains sites internes”.

Dans son article, Uber affirme qu’aucune donnée personnelle n’a été compromise et que les services – y compris Uber, Uber Eats, les services Uber Freight et les outils internes – sont revenus à la normale et fonctionnent correctement.

“D’abord et avant tout, nous n’avons pas constaté que l’attaquant avait accédé aux systèmes de production (c’est-à-dire accessibles au public) qui alimentent nos applications ; à des comptes d’utilisateurs ; ou aux bases de données que nous utilisons pour stocker des informations sensibles sur les utilisateurs, telles que les numéros de carte de crédit, la banque de l’utilisateur informations sur le compte ou l’historique des trajets”, a déclaré Uber. “Nous chiffrons également les informations de carte de crédit et les données personnelles de santé, offrant une couche de protection supplémentaire.”

Uber dit qu’il a immédiatement travaillé pour répondre à la faille de sécurité afin de protéger les systèmes internes et les données des utilisateurs, notamment en identifiant les comptes des employés qui ont été compromis et en bloquant leur accès aux systèmes Uber ou en exigeant une réinitialisation du mot de passe ; désactiver plusieurs outils internes ; réinitialiser l’accès à de nombreux services internes ; verrouiller la base de code ; exiger des employés qu’ils s’authentifient à nouveau lorsque l’accès est rétabli ; et l’ajout d’une surveillance de l’environnement interne “pour garder un œil encore plus attentif sur toute autre activité suspecte”.

Uber a déclaré qu’il travaillait en étroite collaboration avec le FBI, le ministère américain de la Justice et “plusieurs grandes entreprises de criminalistique numérique” sur l’enquête en cours.

L’attaque de jeudi a conduit Uber à désactiver temporairement plusieurs systèmes de communication et d’ingénierie internes, et a ordonné aux employés de ne pas utiliser Slack. Vendredi matin, Uber, Uber Eats, Uber Freight et Uber Drive étaient tous opérationnels, et Uber remettait en ligne ses outils logiciels internes.