Un hacker américain derrière le piratage d’Uber

 

Un homme de Floride (US) âgé de 20 ans est responsable d’une violation de données massive chez Uber en 2016, même si son identité n’a pu être établie, rapporte Reuters.

Le service de transport a révélé le mois dernier que des hackers avaient eu accès aux données de 57 millions de chauffeurs et utilisateurs en octobre 2016. Parmi ces informations figuraient des données personnelles : noms, adresses électroniques et numéros de permis de conduire, mais pas les numéros de sécurité sociale en revanche.

Le bug bounty Uber détourné

Uber reconnaissait avoir payé 100.000 dollars aux pirates en échange de la suppression des données dérobées. L’entreprise avait toutefois gardé le silence sur le ou les auteurs, ainsi que sur le mode de paiement de la rançon.

Selon des « sources proches » contactées par Reuters, le paiement a été réalisé par le biais d’un programme conçu en principe pour récompenser la découverte de vulnérabilités dans les logiciels de l’éditeur, un bug bounty.

Le programme d’Uber dans ce domaine est hébergé par HackerOne, une société qui met en relation chercheurs en sécurité et entreprises.

Si trois sources déclarent à Reuters que le responsable de l’attaque est un homme originaire de Floride, l’agence de presse précise toutefois qu’elle a pas été en mesure d’identifier ce dernier.

Selon Uber, les pirates informatiques ont pu accéder aux noms et adresses e-mail, ainsi qu’aux numéros de licence de 600.000 chauffeurs en volant le mot de passe d’une base de données cloud hébergée sur Amazon Web Services.

Uber a déclaré avoir pris conscience du piratage en novembre 2016. Depuis cette date, le PDG Travis Kalanick a été poussé à la démission et remplacé par Dara Khosrowshahi en août 2017.

Ces révélations valent à la startup des actions de la part des régulateurs et des autorités. Le procureur général de l’État de New York a ouvert une enquête sur l’incident, tandis que le procureur général du Nouveau-Mexique a envoyé à Uber une lettre demandant des détails sur le piratage et la réaction de l’entreprise. Les responsables du Connecticut, de l’Illinois et du Massachusetts ont également confirmé qu’ils enquêtaient sur le piratage.

Uber pourrait également avoir enfreint un accord conclu avec la Federal Trade Commission (FTC, le régulateur américain du commerce) dans lequel il s’engageait à ne pas tromper les utilisateurs sur la confidentialité et la sécurité de leurs données.

Uber a refusé de commenter, tandis que les représentants de HackerOne n’ont pas immédiatement répondu à une demande de commentaire.

ZDNet