Uber réagi trop tardivement à un bug de son système de messagerie

Uber réagi trop tardivement à un bug de son système de messagerie

Uber aurait ignoré pendant des années une faille dans son système de messagerie. Ce bug à maintes fois signalé mais non corrigé aurait pourtant permis à des acteurs malveillants de diffuser des mails de phishing à partir du système officiel de l’entreprise. 

Une faille déjà réparée

Cette faille informatique aurait existé depuis des années, selon l’observation des chercheurs. Celle-ci a d’ailleurs été signalée à plusieurs reprises par différentes sociétés de cybersécurité, mais n’a pas été corrigée par le géant du covoiturage.

Uber réagi trop tardivement à un bug de son système de messagerie

Pour les acteurs malveillants, ce bug aurait été particulièrement facile à exploiter. La faille les aurait permis d’envoyer des mails directement à partir du système de messagerie d’Uber aux 100 millions d’utilisateurs de la plateforme. 

Ce bug, une injection HTML dans l’un des terminaux de messagerie d’Uber, a de toute évidence ouvert des opportunités aux hackers. Et même si la faille aurait été fermée (sans confirmation), les mails envoyés par l’entreprise peuvent aujourd’hui semer le doute. Jusqu’ici, l’entreprise ne s’est pas exprimé sur cette affaire.

Des mails d’attaques possibles

Selon Seif Elsallamy, chercheur en sécurité et chasseur de bugs chez Seekurity, rien ne prouve que le bug ait été exploité. Néanmoins, cet expert aurait observé de possibles mails d’attaques parmi ceux envoyés depuis la plateforme de covoiturage.

Le problème, dit-il, est de toute évidence facile à repérer. Par ailleurs, une simple ligne de code suffirait à le corriger. Des experts ont envoyé des rapports sur cette faille à Uber qui n’aurait corrigé la vulnérabilité que récemment (toujours sans déclaration officielle de la part de l’entreprise).

Personne ne sait jusqu’ici si la faille a été réellement exploitée. Dans le doute et pour se prémunir de tout risque, Seif Elsallamy conseille aux clients d’Uber de réinitialiser leur mot de passe. Il faudrait dit-il utiliser un mot de passe unique et d’utiliser l’authentification à deux facteurs autant que possible. 

 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Pin It on Pinterest