Pour gérer vos consentements :

Vol de données chez Uber : ceci n’est pas un « bug bounty »

Le vol massif de données subi par Uber est-il le fait d’une seule personne ?

Reuters apporte, sur la foi de trois sources dites « proches du dossier », une affirmation nuancée.

Le responsable désigné – un Américain de 20 ans résidant au domicile de sa mère en Floride – n’aurait pas tout à fait commis son forfait sans assistance.

Il se serait en l’occurrence attaché les services d’un tiers pour récupérer, sur un dépôt GitHub privé, les identifiants de connexion qui lui ont permis d’accéder à l’espace cloud où se trouvaient les données.

Uber avait dévoilé l’incident le 21 novembre dernier, plus d’un an après sa survenue. Au bilan officiel, des informations rattachées à 50 millions de passagers et à 7 millions de chauffeurs ont été exposées.

Près de la moitié de ces victimes sont localisées aux États-Unis, précise la société dans son aide en ligne. Pas de précisions, en revanche, pour la France, en dépit des sollicitations du secrétaire d’État au Numérique Mounir Mahjoubi.

L’occasion fait le larron ?

La nouvelle se serait véritablement propagée en interne qu’au mois d’octobre, à la faveur d’une enquête indépendante diligentée par le conseil d’administration à propos des activités de l’équipe sécurité d’Uber.

Cette dernière aurait été mise en relation avec le hacker après que celui-ci eut envoyé un e-mail pour réclamer une rançon.

Elle serait à l’origine de la décision qui vaut aujourd’hui à la firme d’être poursuivie en justice de par le monde : acheter le silence dudit hacker, pour 100 000 dollars.

La somme aurait été transmise sous le couvert du bug bounty (programme de « chasse aux bugs ») qu’Uber a monté avec HackerOne.

Soulignant que l’entreprise a plafonné ses récompenses à 10 000 dollars (montant accordé une seule fois, à un chercheur britannique), Ars Technica est moins affirmatif, estimant que le paiement n’a pas été réalisé par l’intermédiaire de la plate-forme.

Du côté de Reuters, on suggère qu’Uber aurait choisi de passer par HackerOne pour pouvoir confirmer l’identité du hacker et ainsi faciliter la signature d’un accord de non-divulgation.

Crédit photo : marcoverch via Visualhunt.com / CC BY

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago