Le vol massif de données subi par Uber est-il le fait d’une seule personne ?
Reuters apporte, sur la foi de trois sources dites « proches du dossier », une affirmation nuancée.
Le responsable désigné – un Américain de 20 ans résidant au domicile de sa mère en Floride – n’aurait pas tout à fait commis son forfait sans assistance.
Il se serait en l’occurrence attaché les services d’un tiers pour récupérer, sur un dépôt GitHub privé, les identifiants de connexion qui lui ont permis d’accéder à l’espace cloud où se trouvaient les données.
Uber avait dévoilé l’incident le 21 novembre dernier, plus d’un an après sa survenue. Au bilan officiel, des informations rattachées à 50 millions de passagers et à 7 millions de chauffeurs ont été exposées.
Près de la moitié de ces victimes sont localisées aux États-Unis, précise la société dans son aide en ligne. Pas de précisions, en revanche, pour la France, en dépit des sollicitations du secrétaire d’État au Numérique Mounir Mahjoubi.
La nouvelle se serait véritablement propagée en interne qu’au mois d’octobre, à la faveur d’une enquête indépendante diligentée par le conseil d’administration à propos des activités de l’équipe sécurité d’Uber.
Cette dernière aurait été mise en relation avec le hacker après que celui-ci eut envoyé un e-mail pour réclamer une rançon.
Elle serait à l’origine de la décision qui vaut aujourd’hui à la firme d’être poursuivie en justice de par le monde : acheter le silence dudit hacker, pour 100 000 dollars.
La somme aurait été transmise sous le couvert du bug bounty (programme de « chasse aux bugs ») qu’Uber a monté avec HackerOne.
Soulignant que l’entreprise a plafonné ses récompenses à 10 000 dollars (montant accordé une seule fois, à un chercheur britannique), Ars Technica est moins affirmatif, estimant que le paiement n’a pas été réalisé par l’intermédiaire de la plate-forme.
Du côté de Reuters, on suggère qu’Uber aurait choisi de passer par HackerOne pour pouvoir confirmer l’identité du hacker et ainsi faciliter la signature d’un accord de non-divulgation.
Crédit photo : marcoverch via Visualhunt.com / CC BY
Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…
Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…