Uber used bug bounty program to launder blackmail payment to hacker

uber
vtc
sécurité

#1

Uber’s CEO, Dara Khosrowshahi, said in a blog post about the breach that “two individuals outside the company had inappropriately accessed user data stored on a third-party cloud-based service that we use,” and that no payment data was exposed. But the driver’s license data for about 600,000 Uber drivers was stolen, as was contact data for 57 million customers and drivers.

A Reuters report now casts a bit more light on how the company concealed its blackmail payment—the money was paid out to an as-yet-unidentified Florida man through Uber’s bug bounty program, now managed by HackerOne.


#2

Parmi les techniques d’espionnage listées dans sa lettre, Richard Jacobs décrit comment Uber s’efforçait de pirater les systèmes informatiques de ses rivaux. A l’aide de fausses cartes SIM, le groupe aurait simulé des conducteurs ou des passagers de concurrents pour avoir accès à leur application et récupérer des données. Une équipe était également chargée de récolter les informations en ligne que ces mêmes concurrents auraient par inadvertance mal protégées, une pratique dite du « fusking » à la limite de la légalité, souligne Bloomberg .