Uber 2022 : l'attaque par ingénierie sociale qui a tout compromis

Un adolescent contre une entreprise de 80 milliards

Le 15 septembre 2022, un attaquant de 18 ans (plus tard identifié comme membre du groupe Lapsus$) a obtenu un accès presque total aux systèmes internes d'Uber. L'attaque n'a pas exploité de vulnérabilité technique sophistiquée. C'est de l'ingénierie sociale pure.

La chaîne d'attaque

Étape 1 : achat de credentials. L'attaquant a probablement acheté les identifiants d'un sous-traitant Uber sur le dark web. Ces credentials avaient été volés lors d'une précédente infection par malware.

Étape 2 : MFA fatigue. L'attaquant a tenté de se connecter au VPN d'Uber, déclenchant des notifications MFA (push notifications) sur le téléphone de la victime. Il a envoyé des dizaines de notifications pendant plus d'une heure. La victime a fini par accepter une notification pour faire cesser le harcèlement.

Étape 3 : contact direct sur WhatsApp. Quand le MFA fatigue n'a pas fonctionné immédiatement, l'attaquant a contacté la victime sur WhatsApp en se faisant passer pour le support IT d'Uber, lui demandant d'approuver la notification.

Étape 4 : accès au VPN. Avec le MFA approuvé, l'attaquant a accédé au réseau interne d'Uber.

Étape 5 : découverte de secrets. L'attaquant a trouvé un partage réseau contenant des scripts PowerShell avec des identifiants d'administrateur codés en dur, incluant des accès à Thycotic (un gestionnaire de secrets).

Étape 6 : accès total. Via Thycotic, l'attaquant a obtenu les credentials pour AWS, GCP, Google Workspace, Slack, le système de bug bounty HackerOne, les dashboards financiers et le code source.

Ce que l'attaquant a fait

L'attaquant a posté un message sur le Slack interne d'Uber annonçant qu'il avait compromis l'entreprise. Il a modifié la page interne de l'entreprise et partagé des captures d'écran des systèmes internes. Il a également accédé au programme de bug bounty d'Uber sur HackerOne, où il pouvait lire les rapports de vulnérabilités non corrigées.

Pourquoi l'attaque a fonctionné

Le MFA par push notification est vulnérable au fatigue attack. L'utilisateur finit par accepter pour arrêter les notifications.

Des credentials en dur dans des scripts sur un partage réseau. C'est l'erreur classique qui transforme un accès limité en compromission totale.

Un gestionnaire de secrets avec des accès trop larges. Thycotic contenait les clés de tous les systèmes critiques.

Pas de segmentation réseau efficace. Depuis le VPN, l'attaquant a pu atteindre tous les systèmes internes sans restriction.

Leçons

Remplacez le MFA push par du FIDO2/WebAuthn. Les clés physiques (YubiKey) ou les passkeys ne sont pas vulnérables au MFA fatigue.

Ne stockez jamais de credentials dans des scripts. Utilisez un gestionnaire de secrets avec des accès rotatifs et segmentés.

Segmentez votre réseau. L'accès VPN ne devrait pas donner accès à tous les systèmes internes.

Formez vos équipes au social engineering. L'attaque a fonctionné parce qu'un humain a accepté une notification.

Uber est un exemple parfait de la façon dont une seule erreur humaine peut compromettre une entreprise entière. CleanIssue vérifie que vos systèmes sont résilients même en cas de compromission d'un compte individuel.