Le vol massif de données subi par Uber est-il le fait d’une seule personne ?
Reuters apporte, sur la foi de trois sources dites « proches du dossier », une affirmation nuancée.
Le responsable désigné – un Américain de 20 ans résidant au domicile de sa mère en Floride – n’aurait pas tout à fait commis son forfait sans assistance.
Il se serait en l’occurrence attaché les services d’un tiers pour récupérer, sur un dépôt GitHub privé, les identifiants de connexion qui lui ont permis d’accéder à l’espace cloud où se trouvaient les données.
Uber avait dévoilé l’incident le 21 novembre dernier, plus d’un an après sa survenue. Au bilan officiel, des informations rattachées à 50 millions de passagers et à 7 millions de chauffeurs ont été exposées.
Près de la moitié de ces victimes sont localisées aux États-Unis, précise la société dans son aide en ligne. Pas de précisions, en revanche, pour la France, en dépit des sollicitations du secrétaire d’État au Numérique Mounir Mahjoubi.
La nouvelle se serait véritablement propagée en interne qu’au mois d’octobre, à la faveur d’une enquête indépendante diligentée par le conseil d’administration à propos des activités de l’équipe sécurité d’Uber.
Cette dernière aurait été mise en relation avec le hacker après que celui-ci eut envoyé un e-mail pour réclamer une rançon.
Elle serait à l’origine de la décision qui vaut aujourd’hui à la firme d’être poursuivie en justice de par le monde : acheter le silence dudit hacker, pour 100 000 dollars.
La somme aurait été transmise sous le couvert du bug bounty (programme de « chasse aux bugs ») qu’Uber a monté avec HackerOne.
Soulignant que l’entreprise a plafonné ses récompenses à 10 000 dollars (montant accordé une seule fois, à un chercheur britannique), Ars Technica est moins affirmatif, estimant que le paiement n’a pas été réalisé par l’intermédiaire de la plate-forme.
Du côté de Reuters, on suggère qu’Uber aurait choisi de passer par HackerOne pour pouvoir confirmer l’identité du hacker et ainsi faciliter la signature d’un accord de non-divulgation.
Crédit photo : marcoverch via Visualhunt.com / CC BY
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…