Le jeune hacker, pour des raisons compréhensibles, ne veut pas révéler son identité, car il est conscient que ses actions sont hors la loi. Cependant, il s’est vanté auprès du New York Times d’avoir eu accès à plusieurs systèmes internes d’Uber.
Il aurait dû réussir à obtenir un certain nombre de données sensibles. Cependant, il n’est pas clair pour le moment si les données des utilisateurs qui utilisent le service sont également menacées. Uber opère dans des dizaines de pays, dont la République tchèque. Environ 118 millions de personnes l’utilisent activement.
Un ingénieur en sécurité de Yuka Labs a souligné qu’il s’agit d’un “problème de sécurité massif” selon les données publiées. Selon lui, le pirate avait apparemment accès aux systèmes électroniques complets d’Uber.
Quelqu’un a piraté le compte HackerOne d’un employé d’Uber et commente tous les tickets. Ils ont probablement accès à tous les rapports Uber HackerOne. pic.twitter.com/00j8V3kcoE
—Sam Curry (@samwcyo) 16 septembre 2022
Uber n’a pas divulgué les détails
Jusqu’à présent, la plate-forme technologique de transport de personnes s’est limitée à des expressions stoïques et silencieuses. « Nous répondons actuellement à un incident de cybersécurité. Nous sommes en contact avec les forces de l’ordre et publierons d’autres mises à jour dès qu’elles seront disponibles », a déclaré la société sur Twitter.
Cependant, l’entreprise a immédiatement fermé le communicateur interne de Slack et un certain nombre d’autres systèmes qui ont manifestement été touchés par l’attaque.
Selon le New York Times, l’entreprise n’a rien divulgué de plus aux employés eux-mêmes. “Pour le moment, nous ne pouvons pas estimer quand l’accès complet à tous les outils utilisés sera rétabli. Merci pour votre patience”, a écrit Latha Maripuri, directeur de la sécurité de l’information, dans une communication interne aux employés.
Nous répondons actuellement à un incident de cybersécurité. Nous sommes en contact avec les forces de l’ordre et publierons des mises à jour supplémentaires ici dès qu’elles seront disponibles.
– Uber Comms (@Uber_Comms) 16 septembre 2022
Sécurité et royalties
Uber lui-même n’a appris l’attaque que jeudi, lorsque le pirate lui-même l’a contacté. Il a envoyé des captures d’écran d’e-mails, de stockage dans le cloud et d’un référentiel de logiciels contenant le code source du service.
Un jour plus tard, le jeune homme a révélé au New York Times qu’il avait réussi à soutirer des données à un employé de l’entreprise grâce à l’ingénierie sociale. Ainsi, un employé de confiance lui a servi ses données de connexion comme sur un plateau d’or, c’est pourquoi l’attaquant a eu accès aux données de l’entreprise.
Selon le serveur 9to5Mac, le jeune homme avait deux motivations pour s’introduire dans un système informatique étranger. D’un côté, il a voulu attirer l’attention sur la faible sécurité de l’ensemble de la plateforme, et de l’autre, Uber veut pousser pour une meilleure rémunération des chauffeurs hommes et femmes. Cependant, il n’a pas révélé s’il est déterminé à publier les données volées si les plateformes n’augmentent pas les frais.
Des hackers ont volé les données de 57 millions de clients et chauffeurs Uber
Sécurité