Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Uber : 57 millions de comptes piratés, 100 000 dollars pour étouffer l'affaire

Du bug bounty agressif ?
Internet 2 min
Uber : 57 millions de comptes piratés, 100 000 dollars pour étouffer l'affaire
Crédits : PeopleImages/iStock

En octobre de l'année dernière, Uber s'est fait dérober des données personnelles de 50 millions de clients et 7 millions de chauffeurs. La société n'a pas signalé cette fuite (concernant notamment des numéros de permis de conduire) et a payé 100 000 dollars aux pirates pour qu'ils suppriment les données.

Les fuites de données se suivent et ne se ressemblent décidément pas. Cette fois-ci, c'est au tour des clients et chauffeurs d'Uber d'en être victimes, comme le rapportent nos confrères de Bloomberg et le confirme la société de VTC.

57 millions de comptes concernés, dont 50 millions d'usagers

L'attaque remonte à octobre de l'année dernière et impacte pas moins de 57 millions de comptes. Il est ainsi question des noms, adresses email et numéros de téléphone pour plus de 50 millions d'utilisateurs. Les informations personnelles d'environ 7 millions de chauffeurs sont également concernées, notamment 600 000 numéros de permis de conduire américain.

La société affirme par contre qu'aucun numéro de sécurité sociale, de carte bancaire, détails sur les déplacements ou autre information n’a été récupéré par les pirates.

Pour arriver à leur fin, ces derniers ont pu accéder à un dépôt GitHub privé utilisé par les ingénieurs d'Uber. Ils ont alors récupéré les identifiants de connexion qui leur donnaient accès à un compte Amazon Web Services contenant une archive avec ces informations.

Ils ont ensuite envoyé une demande de rançon à Uber... une opération courante dans ce genre de situation, mais la réaction de la société l'est déjà bien moins.

Uber a payé 100 000 dollars aux pirates

Bloomberg explique en effet que la société a payé 100 000 dollars aux pirates pour qu'ils suppriment les données, et ainsi tenter de faire comme si de rien n'était. « Nous avons obtenu l'assurance que les données téléchargées avaient été détruites » ajoute Uber, à qui nous devons donc faire confiance sur ce point... La société ne dévoile par contre pas l'identité des attaquants, malgré la demande de Bloomberg.

Quoi qu'il en soit, Dara Khosrowshahi indique n'avoir été mis au courant que « récemment » de cette histoire. Le directeur général ajoute néanmoins qu'au « moment de l'incident, nous avons pris des mesures immédiates pour sécuriser les données et mettre fin à tout accès non autorisé par les individus ». Des mesures supplémentaires de protections ont également été mises en place. Dans tous les cas, les comptes concernés par cette fuite font l'objet d'une surveillance supplémentaire. 

La justice prend le relai

« Rien de tout cela n'aurait dû arriver [...] Bien que je ne puisse effacer le passé, je peux m'engager au nom de tous les employés d'Uber à apprendre de nos erreurs » explique Dara Khosrowshahi. Le chef de la sécurité Joe Sullivan et un de ses adjoints ont été licenciés pour leur rôle dans cette histoire selon nos confrères.

De son côté, le procureur général de New York, Eric Schneiderman, a ouvert une enquête. Un client poursuit également en justice Uber « pour négligence » et cherche à monter un recours collectif, comme l'indique à nouveau Bloomberg.

32 commentaires
Avatar de trash54 Abonné
Avatar de trash54trash54- 22/11/17 à 07:24:51

100 000$ pour effacer 57 million de comptes Uber c'est léger il manque un zéro ou c'est de BTC :windu:

Avatar de Loeff Abonné
Avatar de LoeffLoeff- 22/11/17 à 07:44:36

« Nous avons obtenu l'assurance que les données téléchargées avaient été détruites »
Eh bien, c'est presque exceptionnel comme sortie :transpi:

Avatar de wanou2 Abonné
Avatar de wanou2wanou2- 22/11/17 à 07:51:24

Loeff a écrit :

« Nous avons obtenu l'assurance que les données téléchargées avaient été détruites »
Eh bien, c'est presque exceptionnel comme sortie :transpi:

 

Les escrocs sont des gens en qui on peut avoir confiance :ouioui: 

Avatar de secouss Abonné
Avatar de secousssecouss- 22/11/17 à 08:09:58

Oups, we did it again :D

Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 22/11/17 à 08:12:36

« Nous avons obtenu l'assurance que les données téléchargées avaient été détruites » ajoute Uber, à qui nous devons donc faire confiance sur ce point...

Ayez confiance, Uber avait mis un DRM, impossible de copier les fichiers

Avatar de Jarodd INpactien
Avatar de JaroddJarodd- 22/11/17 à 08:27:41

La société affirme par contre qu'aucun numéro de sécurité sociale, de
carte bancaire, détails sur les déplacements ou autre information n’a
été récupéré par les pirates.

Ils ont cherché délibérément à cacher la vérité sur le piratage, on peut donc leur faire entièrement confiance sur ce point !

Avatar de kidz INpactien
Avatar de kidzkidz- 22/11/17 à 08:53:46

uber, d'un scandale à l'autre...

Avatar de bloossom Abonné
Avatar de bloossombloossom- 22/11/17 à 08:54:29

je sais vraiment pas quoi penser:
Au fonds, négocier et payer est peut-être la meilleure solution d'un point de vue protection des données personnelles. En même temps, c'est pas la bonne solution politiquement.

Par contre, tant dans les mesures organisationnelles et techniques destinée à protéger les données personnelles que dans la gestion de la crise, Uber s'est pris complètement les pieds dans le tapis. S'ils avaient un peu de considération pour leurs utilisateurs, ils les auraient informés plus vite.

Les diverses mesures prises après coup (licenciements, renforcement de la sécurité, monitoring des comptes compromis) vont dans le bon sens, mais j'espère que des deux côtés de l'atlantique, des procédures seront mise en place afin de vérifier la compliance d'uber.

Vivement l'arrivée de la GDPR, ça obligera les entreprises à se comporter plus raisonnablement avec les données personnelles.
 
 

Avatar de DjabberZ INpactien
Avatar de DjabberZDjabberZ- 22/11/17 à 09:22:21

Et bien évidemment le PDG était pas au courant...
Et bien évidemment le SSIO et son adjoint sont licenciés...

Et bien entendu le SSIO à bénéficier de tout le budget nécessaire pour déployer une sécurité nécessaire...

Parce que c'est bien connu que les PDG valident toujours les projets de sécurité qui coutent un bras mais pourtant obligatoires !!

Cela me fait toujours rire comment ces patrons jouent les vierges effarouchées devant de telles affaires..

Si le chef de sécurité pouvait parler librement je serait bien curieux d'entendre la vérité sur cette affaire..

Avatar de Patch INpactien
Avatar de PatchPatch- 22/11/17 à 09:22:32

jackjack2 a écrit :

Ayez confiance, Uber avait mis un DRM, impossible de copier les fichiers

Ce sont surtout les pirates qui risquent, là.
S'ils ne font pas ce qu'ils disent après avoir été payés, la prochaine fois il n'auront aucun paiement.

Il n'est plus possible de commenter cette actualité.
Page 1 / 4