Il y a du nouveau dans l’aide en ligne d’Uber.
La firme américaine fait la lumière sur un « incident de sécurité » survenu en octobre 2016… avec, pour conséquence, « une atteinte à la confidentialité des informations associées aux comptes des passagers et des chauffeurs-partenaires ».
Les informations en question sont essentiellement des noms, des adresses e-mail et des numéros de téléphone liés à 57 millions d’utilisateurs de l’application de transport à la demande.
Parmi eux, 7 millions de conducteurs, dont environ 600 000 qui feront l’objet d’une notification spécifique en raison de la fuite de leur numéro de permis de conduire.
Affirmant qu’aucune information bancaire n’a été exfiltrée, pas plus que des dates de naissance, des historiques de trajets ou des numéros de sécurité sociale, Uber dit n’avoir constaté « aucune fraude ni aucun abus lié à cet incident » et déclare s’être assuré que les auteurs de l’attaque, identifiés, ont détruit les données.
La société ne confirme cependant pas ce qu’avance Bloomberg : elle aurait versé 100 000 dollars de rançon aux pirates, sous la condition qu’ils gardent le secret.
Le hack n’aurait été découvert que le mois dernier à la faveur d’une enquête indépendante diligentée par le conseil d’administration à propos des activités de l’équipe sécurité d’Uber, que dirigeait alors Joe Sullivan.
Ce dernier ne fait plus, au même titre que l’un de ses adjoints, partie de l’entreprise, qui reconnaît que l’incident aurait dû être signalé aux autorités américaines ainsi qu’à certaines victimes, comme l’impose la loi (exemple en Californie).
Dara Khosrowshahi, le patron d’Uber, ne formule « pas d’excuses », mais reconnaît que « rien de tout cela n’aurait dû se produire ». Il assure que des mesures ont été prises, entre autres pour renforcer le contrôle des accès aux services cloud qu’utilise l’entreprise.
Les données volées se trouvaient vraisemblablement sur un espace Amazon Web Services auquel les pirates ont accédé grâce à des identifiants de connexion récupérés sur un dépôt GitHub privé exploité par les équipes d’ingénieurs d’Uber.
Travis Kalanick, le prédécesseur de Dara Khosrowshahi, aurait été mis au courant dès novembre 2016.
La firme de cybersécurité Mandiant (FireEye) a été sollicitée pour mener l’enquête sur l’incident. Uber a par ailleurs chargé Matt Olsen, ancien secrétaire général de la NSA, d’accompagner ses équipes dans la gestion des problématiques de sécurité.
Une autre enquête a été lancée… par Eric Schneiderman, procureur général de New York.
L’intéressé connaît bien Uber pour lui avoir infligé, l’an dernier, 20 000 dollars d’amende en raison d’une exploitation abusive de données sur les chauffeurs et de la divulgation tardive d’un autre incident de sécurité, intervenu en septembre 2014.
L’affaire rebondit également en justice, avec un utilisateur qui cherche à monter, devant les tribunaux de Los Angeles, un recours collectif pour « négligence » en matière d’implémentation de « pratiques de sécurité raisonnables ».
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…