Les smartphones sont au centre d’une grande partie de nos vies – et pour cause. Plusieurs études ont proposé que les smartphones eux-mêmes soient à ce stade une extension d'un être humain, et c'est pourquoi les violations de la vie privée sont si flagrantes. Si vous y réfléchissez, cela a du sens. Nous envoyons des messages à nos proches, planifions nos journées et interagissons avec le monde réel en utilisant nos smartphones comme support principal. C’est l’une des principales raisons pour lesquelles la faille de sécurité d’Uber est si grave.
Si vous avez déjà utilisé un service de covoiturage comme Uber, prenez du recul et réfléchissez au type de données que vous avez saisies dans l'application. Vous avez certainement saisi des adresses, et vous avez peut-être même saisi l'adresse de votre domicile plus d'une fois. Comment as-tu payé? Avec votre carte de crédit? Et vous deviez évidemment également associer votre numéro de téléphone et votre e-mail, n'est-ce pas? Et votre nom complet? Si une information individuelle était partagée en ligne, tout irait probablement bien. Mais tout cela, au même endroit et en même temps? C'est mauvais et c'est une recette pour le vol d'identité, la fraude par carte de crédit ou, au pire, des ramifications réelles comme le harcèlement ou les agressions. En 2017, l'agence d'évaluation du crédit américaine Equifax a été piratée et a proposé aux utilisateurs concernés des fonds de règlement et une surveillance gratuite du crédit à vie. Jusqu'à 147,9 millions d'Américains risquaient de se voir voler leur identité, car des informations telles que les SSN, les noms complets, les dates de naissance, etc.
Il peut y avoir des conséquences concrètes, comme le harcèlement ou les agressions.
Actuellement, l'ampleur de la faille de sécurité d'Uber n'a pas été confirmée. Les rapports suggèrent que le pirate informatique a eu accès à presque tous les secteurs verticaux de l'entreprise, y compris les données financières, le code source des applications et les bases de données contenant des informations sur les utilisateurs. On dit qu'ils ont essentiellement récupéré les clés du château, et un rapport de Le New York Timesprétend avoir interviewé le hacker. Le kicker? Selon cette interview, le hacker n’a que 18 ans. Il existe évidemment un monde dans lequel ils peuvent mentir sur leur âge (et sur d'autres informations contenues dans ce domaine). interview également), mais de nombreux jeunes ont été impliqués dans des attaques à grande échelle comme celles-ci le passé.
Les données que nous partageons nous définissent
Si quelqu’un volait votre smartphone et y accédait, il pourrait probablement tout découvrir sur vous. Ils découvriraient vos intérêts, vos habitudes, où vous vivez, et bien plus encore, mais ce n'est pas tout. Ils pourraient découvrir toutes sortes d'informations personnelles, ils pourraient découvrir vos dossiers de santé et ils pourraient probablement vous traquer en fonction de votre historique de localisation et de vos lieux fréquentés s'ils le voulaient à. Si vous avez un animal de compagnie, son nom figure probablement également quelque part sur votre téléphone. Un Américain sur trois, selon un analyste de recherche Aura, ont utilisé le nom de leur animal comme mot de passe. Si vous êtes une personne sur trois, la personne qui a volé votre téléphone pourrait désormais également pouvoir accéder à vos comptes en ligne.
Nous accordons une grande confiance aux entreprises avec nos données. Certaines failles de sécurité peuvent ruiner des vies si les données tombent entre de mauvaises mains et si j'ai un compte Uber que j'avais utilisé plus d'une fois, je m'inquiéterais des informations qui pourraient désormais être disponibles sur Internet. On ne sait pas ce qui a été volé, car de tels trésors de données peuvent être vendus pour beaucoup d'argent sur le marché clandestin. Même si votre smartphone est sécurisé par un mot de passe, vous mettez un parcelle de confiance dans les systèmes de sécurité de votre téléphone. Ce n'est que récemment qu'une vulnérabilité dans la puce de sécurité Titan M (découverte dans Téléphones Google Pixel) fixé dans un Mise à jour du correctif de sécurité Android, et il a permis une élévation des privilèges avec « une interaction utilisateur non nécessaire pour l'exploitation ». Les chercheurs étaient alors capable d'extraire des clés cryptographiques cela ne devrait jamais quitter l’appareil.
La violation d'Uber devrait être un appel à réévaluer les entreprises en qui vous avez confiance
En d’autres termes, la violation d’Uber devrait être un appel à réévaluer les entreprises en qui vous avez confiance et avec quelles données. Bien que nous ne connaissions pas encore pleinement l’ampleur de cette violation, ce n’était qu’une question de temps avant qu’une entreprise ne subisse une violation d’une telle ampleur potentielle. Même si les entreprises sont censées suivre les meilleures pratiques en matière de stockage des données des utilisateurs (y compris le hachage et le salage des données des utilisateurs), mots de passe, cartes de crédit, etc.), vous accordez beaucoup de confiance aux entreprises qui ont suivi ces meilleurs les pratiques. Même si une entreprise prétend avoir chiffré ces mots de passe, cela ne signifie pas que vous serez en sécurité pour toujours en cas de fuite de données.
À titre d'exemple, prenons Riot Games League of Legends. En 2012, l'entreprise a été piratée, avec divers attributs d'identification personnelle et mots de passe « cryptés » divulgués en ligne. En 2018, un sous-ensemble de ces données a été divulgué en ligne avec des mots de passe en texte brut probablement piratés à partir de ces mots de passe « cryptés » six ans auparavant. Dix ans, c'est long et les normes de sécurité ont évolué depuis, mais le fait est que vous ne savez jamais ce qui arrive à vos données à un moment donné une fois qu'elles sont disponibles.
Si vous possédez un compte Uber, cela vaut vraiment la peine de garder un œil sur l'actualité pour voir quelles données ont été divulguées, le cas échéant. Même s'il s'avère que rien n'a été partagé en ligne, l'entreprise a quand même confirmé la violation et il est alarmant de penser à l'accès que quelqu'un peut avoir à votre vie personnelle.