SécuritéUber avait payé son pirate via un service spécialisé
Le groupe de réservation de voitures avec chauffeur avait fait appel à une plateforme de chasseurs de bugs.
Uber s'est tourné vers HackerOne quand il a reçu l'an passé un courriel anonyme lui demandant de l'argent en échange de 57 millions de données volées d'utilisateurs. C'est par cet intermédiaire qu'a eu lieu le versement de 100 000 dollars, selon l'agence Reuters. La somme est qualifiée de rançon au regard des 5000 à 10 000 dollars offerts pour le signalement d'un bug similaire. «Ils ont mis un cadre légal autour de ce chantage, analyse Steven Meyer, de ZENData à Genève. Uber a payé de sa poche ses erreurs plutôt que de les laisser publier au détriment des utilisateurs, comme dans 90% des cas.»
Uber avait également fait signer au pirate un accord controversé de non-divulgation. La participation à un programme de récompenses aux chasseurs de primes ne dispense pas Uber de se soumettre à la loi sur la notification des infractions, a relevé Katie Moussouris, ancienne dirigeante de HackerOne. «Si cela avait été une récompense légitime, il aurait été idéal pour tous les acteurs de le crier sur les toits», a-t-elle souligné.
Quant au pirate, il s'agit d'un jeune homme de 20 ans vivant en Floride «avec sa mère dans une petite maison qui essayait d'aider à payer les factures». Uber n'a pas voulu le poursuivre en justice, estimant qu'il ne représentait plus une menace. La firme californienne avait fait procéder à une analyse médico-légale de son ordinateur pour s'assurer que les données sensibles avaient toutes été purgées de manière définitive.
(L'essentiel)