Attaque chez Uber

Un petit résumé un peu surréaliste de l'attaque chez Uber .
Un hacker aurait réussi à accéder au Slack Uber, puis appliquer une tactique d'ingénierie sociale ( MFA Fatigue ) pour pousser un employé d'Uber à approuver une notification push pour le MFA. L'employé aurait fini par accepter en croyant qu'il avait affaire à un membre authentique de l'IT d'Uber. L'attaquant aurait ainsi enrollé son propre téléphone pour le MFA et se serait par la suite procuré un accès au VPN entreprise , avant de commencer à scanner le réseau intranet.
Il a ensuite exploité un partage de fichiers contenant entre autre des fichiers powershell lesquels avaient des informations d'un compte à privilèges. L'utilisation de ce compte aurait permis l'accès au gestionnaire de mot de passe Thycotic suivi de l'extraction d'identifiants et mot de passe de portails d'admin et d'applications critiques:
- Portail AWS
-Portail vSphere
-Portail SentinelOne
- Portail GSuite
- Dashboards financiers
- Jira Confluence
- Portail HackerOne
Pour finir l'attaquant aurait téléchargé des rapports de vulnérabilités des systèmes Uber , et potentiellement du code source et d'autre données.
Maintenant qu'on a décrit la situation qui n'est pour l'instant que la version de l'attaquant et des médias , j'aimerais avoir votre avis sur les solutions qui auraient pu éviter tout cela . Et quelle est aussi la posture qu'Uber doit tenir pour s'en sortir (Courage à eux) ? #aws #sentinelone #powershell #hackerone #uber #vpn #confluence #hacker #jira