Uber dissimulait une fuite de données de 57 millions d’utilisateurs datant de fin 2016

Le service de voiture de transport avec chauffeur (VTC) Uber vient d’annoncer qu'il avait été victime d'un piratage massif fin 2016. Le piratage a résulté du vol des données personnelles de 57 millions d'utilisateurs. Uber a cherché à étouffer l'affaire en acceptant d'acheter le silence des pirates contre une rançon de 100.000 dollars.

En effet, deux attaquants ont pu accéder à des comptes GitHub privés utilisés par des développeurs d'Uber et s'emparer d'identifiants et de mots de passe. Ils ont ensuite utilisé ces identifiants pour se connecter à un espace en ligne d'Uber sur son service cloud Amazon Web Services et ont ainsi pu accéder à une base de données contenant les informations des clients et des chauffeurs d'Uber. Une fois les données extraites, ils ont alors pris contact avec l'entreprise pour leur demander le paiement d'une rançon contre la non-diffusion des données.

Les données des 57 millions de comptes qui ont été compromis contenaient des noms, adresses de courrier électronique et numéros de téléphone. Parmi les victimes figurent 7 millions de chauffeurs Uber, dont 600.000 basés aux États-Unis. Ces derniers avaient leur numéro de permis de conduire également accessibles dans la base de données. Uber assure que les pirates n'ont pas mis la main sur des informations bancaires, numéros de sécurité sociale, dates de naissance ou historiques individuels des trajets.

Face à cette situation, Uber affirme que des mesures de sécurité ont été immédiatement prises pour sécuriser les données et les accès. Le nouveau directeur général d'Uber a tenté de dissimuler la fuite de données alors que la loi américaine l'obligeait à communiquer l'information au public et aux autorités concernées. En revanche, il a annoncé une série de mesures pour renforcer la sécurité des systèmes. Le directeur de la sécurité et l'un de ses adjoints ont été licenciés. Les chauffeurs dont le numéro de permis de conduire a été compromis ont été prévenus et bénéficient d'une souscription à un programme de protection contre le vol d'identité.

Les répercussions de cette affaire restent encore imprévisibles, mais Uber risque de lourdes sanctions financières. Cet incident s’ajoute à d’autres faits de corruption, de vol de propriété intellectuelle et d'usage de logiciels prohibés auxquels l'entreprise est déjà confrontée. L'entreprise fait actuellement l'objet d'une dizaine de procès.