Dans ce contexte Mickael Walter, Analyste Sécurité au CERT (Computer Emergency Response Team) d’I-TRACING, spécialiste des services de cybersécurité qui accompagne plus de 400 clients dans la maîtrise de leurs risques cyber depuis l’anticipation des menaces pour maintenir le meilleur niveau de sécurité de leurs systèmes et actifs, à la capacité de réaction en cas d’attaques pour limiter les conséquences, réagit :

« Alors qu’Uber avait une solution d’authentification multi facteurs déployée sur le VPN, l’attaquant a fait en sorte qu’un employé d’Uber valide sa connexion sur son application en « jouant sur la fatigue ». Cette technique consiste à demander en boucle à l’utilisateur de s’authentifier avec un second facteur, ce qui concrètement lui envoie une notification push à chaque tentative, puis il l’a contacté en prétextant être du support IT d’Uber. L’utilisateur a finalement validé le second facteur par fatigue et divulgué ses identifiants.

L’attaquant a ainsi pu accéder et scanner le réseau local puis découvrir un script qui contenait les identifiants d’un compte administrateur. Avec l’élévation de ses privilèges, il a ensuite compromis la solution d’IAM, le programme de bug bounty (il a donc eu accès à tous les bugs rapportés à Uber), Google Suite, l’EDR Sentinel One, l’instance Slack et plusieurs outils internes d’Uber.

C’est donc une compromission en profondeur qui a eu lieu. A ce stade, il est difficile de dire s’il y a des motivations d’exfiltration de données puisque le pirate passe beaucoup de temps à se vanter de l’attaque ce qui laisserait croire qu’il recherche surtout la célébrité. Même s’il semblait en avoir la possibilité technique. L’attaquant s’est principalement servi de ses accès pour provoquer Uber en postant divers messages sur l’ensemble des canaux auxquels il avait accès. Il prétend sur le Slack de l’entreprise avoir volé des données depuis le serveur Confluence de l’entreprise ainsi que possiblement du code source. »