Uber avait gardé secret un piratage à 57 millions de victimes

Il y a du nouveau dans l’aide en ligne d’Uber.

La firme américaine fait la lumière sur un « incident de sécurité » survenu en octobre 2016… avec, pour conséquence, « une atteinte à la confidentialité des informations associées aux comptes des passagers et des chauffeurs-partenaires ».

Les informations en question sont essentiellement des noms, des adresses e-mail et des numéros de téléphone liés à 57 millions d’utilisateurs de l’application de transport à la demande.

Parmi eux, 7 millions de conducteurs, dont environ 600 000 qui feront l’objet d’une notification spécifique en raison de la fuite de leur numéro de permis de conduire.

Affirmant qu’aucune information bancaire n’a été exfiltrée, pas plus que des dates de naissance, des historiques de trajets ou des numéros de sécurité sociale, Uber dit n’avoir constaté « aucune fraude ni aucun abus lié à cet incident » et déclare s’être assuré que les auteurs de l’attaque, identifiés, ont détruit les données.

La société ne confirme cependant pas ce qu’avance Bloomberg :  elle aurait versé 100 000 dollars de rançon aux pirates, sous la condition qu’ils gardent le secret.

Le hack n’aurait été découvert que le mois dernier à la faveur d’une enquête indépendante diligentée par le conseil d’administration à propos des activités de l’équipe sécurité d’Uber, que dirigeait alors Joe Sullivan.

Origine GitHub ?

Ce dernier ne fait plus, au même titre que l’un de ses adjoints, partie de l’entreprise, qui reconnaît que l’incident aurait dû être signalé aux autorités américaines ainsi qu’à certaines victimes, comme l’impose la loi (exemple en Californie).

Dara Khosrowshahi, le patron d’Uber, ne formule « pas d’excuses », mais reconnaît que « rien de tout cela n’aurait dû se produire ». Il assure que des mesures ont été prises, entre autres pour renforcer le contrôle des accès aux services cloud qu’utilise l’entreprise.

Les données volées se trouvaient vraisemblablement sur un espace Amazon Web Services auquel les pirates ont accédé grâce à des identifiants de connexion récupérés sur un dépôt GitHub privé exploité par les équipes d’ingénieurs d’Uber.

Travis Kalanick, le prédécesseur de Dara Khosrowshahi, aurait été mis au courant dès novembre 2016.

La firme de cybersécurité Mandiant (FireEye) a été sollicitée pour mener l’enquête sur l’incident. Uber a par ailleurs chargé Matt Olsen, ancien secrétaire général de la NSA, d’accompagner ses équipes dans la gestion des problématiques de sécurité.

Une autre enquête a été lancée… par Eric Schneiderman, procureur général de New York.

L’intéressé connaît bien Uber pour lui avoir infligé, l’an dernier, 20 000 dollars d’amende en raison d’une exploitation abusive de données sur les chauffeurs et de la divulgation tardive d’un autre incident de sécurité, intervenu en septembre 2014.

L’affaire rebondit également en justice, avec un utilisateur qui cherche à monter, devant les tribunaux de Los Angeles, un recours collectif pour « négligence » en matière d’implémentation de « pratiques de sécurité raisonnables ».

Recent Posts

One Outlook : le plan de Microsoft pour unifier sa messagerie

Quelle forme prendra la stratégie One Outlook de Microsoft ? Un élément de réponse émerge…

1 semaine ago

Méthodes agiles : quels métiers sont les mieux rémunérés ?

Développeur, product owner ou scrum master... Quelles sont les rémunérations proposées aux professionnels des méthodes…

1 semaine ago

Certifications : gros changements chez Microsoft

Microsoft fait évoluer ses processus de certification. Le renouvellement pourra bientôt se faire en ligne,…

4 semaines ago

Cloud : qui s’impose dans les bases de données

Le segment des bases de données as a service - aussi appelées SGBD cloud managés…

1 mois ago

Flash Player : comment Adobe prépare l’extension du support

Fin 2020, c'en sera terminé du support de Flash Player... par Adobe. HARMAN reprendra le…

1 mois ago

Excel : vers une création plus simple des fonctions personnalisées

Microsoft ouvre aux bêtatesteurs d'Excel la possibilité de créer des fonctions personnalisées en utilisant le…

1 mois ago