Uber corrige un bug qui exposait les informations confidentielles de ses utilisateurs

Cyril Garrech-Casanova
Publié le 24 février 2019 à 11h03
Uber

Après un mois de travail, Uber vient de corriger un bug qui aurait pu permettre à des entités malveillantes d'accéder à des données de clients et de serveurs

Deux ingénieurs indiens en sécurité avaient récemment détecté une faille dans le système de gestion d'Uber. Le leader des VTC a mis un mois à corriger ce bug après l'avoir identifié. En exposant les jetons de serveurs et les informations confidentielles des utilisateurs, cette faille aurait permis à certaines entités pirates d'avoir accès à des reçus et des factures.

Un bug qui aurait exposé les données d'applications tierces

Cette faille de sécurité aurait rendu vulnérables les secrets des clients et les jetons de serveurs à d'éventuels piratages. Ces informations sont « hautement sensibles », comme le rappelle le site TechCrunch, dans la mesure où elles permettent aux applications tierces autorisées à communiquer avec les serveurs d'Uber.

Les développeurs d'Uber sont eux-mêmes avertis de « ne jamais partager » leurs accès avec quiconque. Pour Anand Prakash, l'un des ingénieurs ayant identifié cette faille, le bug aurait été « très facile » à exploiter s'il avait été saisi par des pirates, leur permettant d'avoir accès aux reçus et factures de millions d'utilisateurs.

Aucune indication de piratage des données pour l'heure

Anand Prakash a été assez réactif pour communiquer cette faille auprès d'Uber et éviter tout dégât pour la sécurité des usagers et de l'entreprise, gratifié au passage d'une prime de 5 000 $. Uber a ainsi envoyé un e-mail à ses développeurs pour les informer en précisant que « pour l'heure, rien ne nous indique que cette faille a été exploitée », avant de les enjoindre de redoubler de vigilance quant à leurs barrières de sécurité.

Il y a deux ans, un bug avait également permis à l'utilisateur qui l'avait découvert de voyager gratuitement aux Etats-Unis et en Inde. Un bug déjà découvert, à l'époque, par Anand Prakash.
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. En savoir plus sur le traitement de données personnelles.