Faille Uber : du mauvais usage du Bug Bounty

L’exposition de 57 millions de données clients d’Uber serait le fait d’un hacker de 20 ans dans le cadre d’un Bug Bounty sur la plateforme HackerOne.

Lors de l’annonce de la violation de 57 millions de données clients et de 600 000 informations sur les chauffeur d’Uber, le CEO de la firme avait indiqué que la somme de 100 000 dollars avait versé à un hacker pour ne pas divulguer cet incident.

Un jeune hacker Floridien de 20 ans

Aujourd’hui, Reuters indique selon plusieurs sources, que le hacker en question est un jeune de 20 ans habitant en Floride. Il se trouve que ce jeune homme, dont l’identité n’a pas été déterminée, a participé à un programme de recherches de bugs, un Bug Bounty.

Membre de la plateforme HackerOne, une source de Reuters explique que la récompense a permis au hacker de payer ses factures, car il habite seul avec sa mère. Il a redistribué une partie des gains avec une autre personne qui lui a transmis un accès au référentiel privé Github comprenant des identifiants aux bucket S3 d’AWS où sont stockés des données clients et sur les chauffeurs Uber.

Est-ce que Travis Kalanick, ancien dirigeant d’Uber, a donné son accord pour payer la somme au jeune floridien ? L’ex-CEO n’a pas souhaité faire de commentaires. Du côté de HackerOne, on souligne que le montant de la prime est sans conteste un record. Dans les Bug Bounty, les primes sont en général comprises entre 5000 et 10 000 dollars. Mais la plateforme rappelle que si elle héberge le bug bounty d’Uber, elle ne le gère pas. Cependant, le versement d’une prime financière fait l’objet d’une déclaration administratives et fiscales.

Pervertir le Bug Bounty et un silence coupable

Cette affaire montre le mauvais usage des Bug Bounty. Dans ce cas-là, le hacker a contacté directement par mail les responsables d’Uber pour leur faire part de la faille et réclamer de l’argent. Une méthode contraire aux règles des programmes de recherche de bug. La plateforme fait le lien entre les clients et les spécialistes de la sécurité

Après analyse et vérification de la véracité des propos, Uber a décidé de verser 100 000 dollars en échange de la signature d’un accord de confidentialité. La direction d’Uber s’est ensuite bien gardée de parler de l’incident aux régulateurs.

Une succession d’erreurs qui ont coûté leur place aux RSSI et juriste d’Uber. L’actuel CEO, Dara Khosrowshahi, a dès la connaissance de l’affaire, informé les régulateurs de l’incident et s’est assuré que la brèche soit bien colmatée. L’affaire a pris maintenant un aspect judiciaire où plusieurs actions ont débuté. En France, le secrétaire d’Etat au Numérique, Mounir Mahjoubi, a demandé à Uber combien de clients Français étaient concernés par la violation de données.

Crédit Photo : D.R

Auteur : Jacques Cheminat

Journaliste pendant 15 ans sur les thématiques, télécoms, réseaux, datacenter, stockage, sécurité, virtualisation, etc..., j'ai choisi d'ouvrir ce blog pour écrire sur tous les sujets IT, les tendances et mes humeurs.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s