On en sait désormais un peu plus sur l’énorme fuite de données dont Uber a été la victime en 2016. Reuters a révélé que le hacker serait un américain de 20 ans résidant en Floride. À l’époque Uber lui a versé 100 000 de dollars pour qu’il supprime les données récupérées, mais aussi pour qu’il garde le silence.

Au cours du mois de novembre, Uber a annoncé avoir été la cible d’un hacking durant lequel les données de 57 millions d’utilisateurs avaient été dérobées. 50 millions d’utilisateurs, et 7 millions de chauffeurs. Parmi ces données, 600 000 numéros de permis de conduire, mais pas de numéros de sécurité sociale, ou de numéros de carte de crédit. La société de VTC n’a pas souhaité répondre à l’article publié par Reuters, surtout que l’affaire est très gênante pour le nouveau CEO Dara Khosrowshahi qui a renvoyé deux protagonistes de ce scandale qui a dit que cet événement aurait dû être mentionné aux autorités.

Les 100 000 dollars n’ont pas été versés sous le manteau. À l’époque, ils ont été inscrits comptablement en tant que récompense de sécurité. C’est une pratique courante pour les géants du numérique qui encouragent les développeurs à explorer leurs services pour identifier des bugs et être récompensés financièrement pour leur trouvaille. On appelle cela du « bug bounty » et Uber a sous-traité cela via la société HackerOne. De plus, le hacker a rémunéré une autre autre personne qui l’a aidé à accéder aux données stockées ailleurs que sur GitHub.

Reuters a déclaré ne pas avoir plus d’information pour identifier précisément le pirate ou les personnes qui l’ont aidé. Une source a décrit le jeune homme comme quelqu’un « qui habite avec sa mère dans une petite maison et qui essaye de l’aider à payer ses factures. » C’est ce qui a motivé Uber à ne pas le poursuivre, sachant qu’il ne représenterait pas de menace pour plus tard.

Le président de HackeOne, Marte Mickoss a quant à lui déclaré que « dans tous les cas, lorsqu’une récompense de bug bounty a lieu, nous recevons des informations d’identifications à travers les formulaires RS W-9 ou W-8BEN avant que le paiement de la récompense puis être effectué. » Des sources précises que Uber a fait le paiement et connaît l’identité du hacker, car la société lui a aussi fait signer une close de confidentialité. Enfin, Uber a aussi effectué un check-up complet de l’ordinateur du pirate afin de s’assurer de la bonne suppression des données.