Vol de données chez Uber : ceci n’est pas un « bug bounty »
Qui est derrière le vol de données massif subi par Uber ? On évoque la piste d’un jeune Américain dont le silence aurait été acheté… sous le couvert d’un « bug bounty ».
Le vol massif de données subi par Uber est-il le fait d’une seule personne ?
Reuters apporte, sur la foi de trois sources dites « proches du dossier », une affirmation nuancée.
Le responsable désigné – un Américain de 20 ans résidant au domicile de sa mère en Floride – n’aurait pas tout à fait commis son forfait sans assistance.
Il se serait en l’occurrence attaché les services d’un tiers pour récupérer, sur un dépôt GitHub privé, les identifiants de connexion qui lui ont permis d’accéder à l’espace cloud où se trouvaient les données.
Uber avait dévoilé l’incident le 21 novembre dernier, plus d’un an après sa survenue. Au bilan officiel, des informations rattachées à 50 millions de passagers et à 7 millions de chauffeurs ont été exposées.
Près de la moitié de ces victimes sont localisées aux États-Unis, précise la société dans son aide en ligne. Pas de précisions, en revanche, pour la France, en dépit des sollicitations du secrétaire d’État au Numérique Mounir Mahjoubi.
L’occasion fait le larron ?
La nouvelle se serait véritablement propagée en interne qu’au mois d’octobre, à la faveur d’une enquête indépendante diligentée par le conseil d’administration à propos des activités de l’équipe sécurité d’Uber.
Cette dernière aurait été mise en relation avec le hacker après que celui-ci eut envoyé un e-mail pour réclamer une rançon.
Elle serait à l’origine de la décision qui vaut aujourd’hui à la firme d’être poursuivie en justice de par le monde : acheter le silence dudit hacker, pour 100 000 dollars.
La somme aurait été transmise sous le couvert du bug bounty (programme de « chasse aux bugs ») qu’Uber a monté avec HackerOne.
Soulignant que l’entreprise a plafonné ses récompenses à 10 000 dollars (montant accordé une seule fois, à un chercheur britannique), Ars Technica est moins affirmatif, estimant que le paiement n’a pas été réalisé par l’intermédiaire de la plate-forme.
Du côté de Reuters, on suggère qu’Uber aurait choisi de passer par HackerOne pour pouvoir confirmer l’identité du hacker et ainsi faciliter la signature d’un accord de non-divulgation.
Crédit photo : marcoverch via Visualhunt.com / CC BY