Uber a déclaré qu’il pensait que le groupe de piratage Lapsus $ était à l’origine d’une attaque la semaine dernière qui a forcé l’entreprise à fermer temporairement certains systèmes internes, affirmant que les auteurs avaient obtenu l’accès après avoir obtenu les informations d’identification du compte d’un entrepreneur externe.
L’attaque est la dernière en date contre une grande entreprise technologique liée à Lapsus$, un groupe décrit par les chercheurs en cybersécurité comme un collectif « vaguement » ayant des racines au Royaume-Uni et au Brésil. Les membres ont déjà été blâmés pour des piratages embarrassants sur Microsoft, Samsung, Nvidia et Okta.
Le gang était également lié à une autre attaque très médiatisée ce week-end contre le développeur de jeux vidéo Rockstar Games, dans laquelle des images du prochain épisode invisible de la série Grand Theft Auto ont été divulguées sur un forum de fans. Les chercheurs en cybersécurité ont noté de fortes similitudes dans l’attaque, mais ont déclaré qu’il était trop tôt pour confirmer une connexion.
Uber a d’abord annoncé qu’il avait été violé jeudi soir dernier. Lundi, il a confirmé que l’intrus avait obtenu des « autorisations élevées », donnant accès à un certain nombre de systèmes internes et de logiciels d’entreprise utilisés par les employés.
Parmi eux se trouvaient les canaux Slack d’Uber, où l’attaquant a envoyé un message alertant le personnel du piratage, disant : « J’annonce que je suis un pirate informatique et Uber a subi une violation de données. » Certains employés ont été redirigés vers une page Web contenant une image obscène.
La société de covoiturage basée à San Francisco a déclaré que ses systèmes « publics » n’étaient pas affectés, ajoutant que les bases de données que la société utilise pour stocker les données « sensibles » des utilisateurs – telles que les coordonnées bancaires et l’historique des voyages – n’étaient pas violées. L’attaquant n’a pas non plus modifié le code logiciel sous-jacent à son application et à ses services, a déclaré Uber.
Uber a déclaré qu’il était « probable » qu’un pirate informatique affilié à Lapsus$ ait acheté le mot de passe de l’entrepreneur sur le dark web.
« L’attaquant a ensuite tenté à plusieurs reprises de se connecter au compte Uber de l’entrepreneur », a déclaré la société. « À chaque fois, l’entrepreneur a reçu une demande d’approbation de connexion à deux facteurs, qui bloquait initialement l’accès. Finalement, cependant, l’entrepreneur en a accepté un et l’attaquant s’est connecté avec succès.
Lapsus$ a pris de l’importance à la fin de l’année dernière, a déclaré Claire Tills du groupe de cybersécurité Tenable. La police de Londres a déclaré en mars avoir arrêté sept personnes liées au gang, âgées de 16 à 21 ans.
Tills a noté que le groupe s’est décrit comme n’étant pas « politiquement motivé ou parrainé par l’État » et plutôt motivé par une quête de notoriété. Un rapport de recherche Tenable publié plus tôt cette année a déclaré que le groupe était « effronté, peu sophistiqué et illogique ».
Ce modèle semblait évident dimanche, lorsqu’un utilisateur sur un forum Web pour Grand Theft Auto, prétendant être la personne qui avait piraté Uber quelques jours auparavant, a publié 90 vidéos et images divulguées de Grand vol automatique 6. Un suivi a suggéré qu’il «négocierait» avec la société pour empêcher la diffusion de plus de séquences.
Rockstar a confirmé lundi que les images étaient authentiques et qu’elles avaient été victimes d’une « intrusion dans le réseau ».
« Notre travail sur le prochain jeu Grand Theft Auto se poursuivra comme prévu et nous restons plus déterminés que jamais à vous offrir, à vous, nos joueurs, une expérience qui dépasse vraiment vos attentes », a déclaré la société sur Twitter.
Les actions de la société mère de Rockstar, Take-Two Interactive, étaient en baisse au début des échanges de lundi, mais se sont redressées en fin de journée. Les actions d’Uber ont légèrement augmenté au cours de la semaine dernière.