Uber a confirmé que la récente violation de ses systèmes a commencé par un compte compromis appartenant à un entrepreneur.
« Il est probable que le pirate ait acheté le mot de passe Uber de l’entrepreneur sur le dark web, après que l’appareil personnel de l’entrepreneur ait été infecté par un logiciel malveillant, exposant ainsi ces informations d’identification », a déclaré l’entreprise.
Uber n’a pas expliqué pourquoi, mais a déclaré qu’elle pensait que cet attaquant était affilié au groupe de pirates informatiques Lapsus$.
Lorsque l’entrepreneur d’Uber a finalement accepté la demande, le pirate s’est connecté à son compte et, à partir de là, il a accédé à plusieurs autres comptes d’employés, ce qui lui a permis d’obtenir des autorisations élevées pour un certain nombre d’outils, y compris G-Suite et Slack.
L’attaquant a également publié un message sur un canal Slack de l’entreprise et reconfiguré l’OpenDNS d’Uber pour afficher une image graphique aux employés sur certains sites internes, a ajouté Uber.
Uber affirme n’avoir trouvé aucune preuve que l’attaquant ait accédé aux systèmes publics alimentant ses applications, ses comptes d’utilisateurs ou ses bases de données, ni qu’il ait apporté des modifications à sa base de code.