Uber avait gardé secret un piratage à 57 millions de victimes

Apps mobilesMobilitéSécurité
uber-hack

Lumière est faite sur une attaque informatique qu’Uber taisait depuis un an. Les données de 57 millions d’utilisateurs ont fuité à cette occasion.

Il y a du nouveau dans l’aide en ligne d’Uber.

La firme américaine fait la lumière sur un « incident de sécurité » survenu en octobre 2016… avec, pour conséquence, « une atteinte à la confidentialité des informations associées aux comptes des passagers et des chauffeurs-partenaires ».

Les informations en question sont essentiellement des noms, des adresses e-mail et des numéros de téléphone liés à 57 millions d’utilisateurs de l’application de transport à la demande.

Parmi eux, 7 millions de conducteurs, dont environ 600 000 qui feront l’objet d’une notification spécifique en raison de la fuite de leur numéro de permis de conduire.

Affirmant qu’aucune information bancaire n’a été exfiltrée, pas plus que des dates de naissance, des historiques de trajets ou des numéros de sécurité sociale, Uber dit n’avoir constaté « aucune fraude ni aucun abus lié à cet incident » et déclare s’être assuré que les auteurs de l’attaque, identifiés, ont détruit les données.

La société ne confirme cependant pas ce qu’avance Bloomberg :  elle aurait versé 100 000 dollars de rançon aux pirates, sous la condition qu’ils gardent le secret.

Le hack n’aurait été découvert que le mois dernier à la faveur d’une enquête indépendante diligentée par le conseil d’administration à propos des activités de l’équipe sécurité d’Uber, que dirigeait alors Joe Sullivan.

Origine GitHub ?

Ce dernier ne fait plus, au même titre que l’un de ses adjoints, partie de l’entreprise, qui reconnaît que l’incident aurait dû être signalé aux autorités américaines ainsi qu’à certaines victimes, comme l’impose la loi (exemple en Californie).

Dara Khosrowshahi, le patron d’Uber, ne formule « pas d’excuses », mais reconnaît que « rien de tout cela n’aurait dû se produire ». Il assure que des mesures ont été prises, entre autres pour renforcer le contrôle des accès aux services cloud qu’utilise l’entreprise.

Les données volées se trouvaient vraisemblablement sur un espace Amazon Web Services auquel les pirates ont accédé grâce à des identifiants de connexion récupérés sur un dépôt GitHub privé exploité par les équipes d’ingénieurs d’Uber.

Travis Kalanick, le prédécesseur de Dara Khosrowshahi, aurait été mis au courant dès novembre 2016.

La firme de cybersécurité Mandiant (FireEye) a été sollicitée pour mener l’enquête sur l’incident. Uber a par ailleurs chargé Matt Olsen, ancien secrétaire général de la NSA, d’accompagner ses équipes dans la gestion des problématiques de sécurité.

Une autre enquête a été lancée… par Eric Schneiderman, procureur général de New York.

L’intéressé connaît bien Uber pour lui avoir infligé, l’an dernier, 20 000 dollars d’amende en raison d’une exploitation abusive de données sur les chauffeurs et de la divulgation tardive d’un autre incident de sécurité, intervenu en septembre 2014.

L’affaire rebondit également en justice, avec un utilisateur qui cherche à monter, devant les tribunaux de Los Angeles, un recours collectif pour « négligence » en matière d’implémentation de « pratiques de sécurité raisonnables ».

uber-check-securite

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur