En octobre de l'année dernière, Uber s'est fait dérober des données personnelles de 50 millions de clients et 7 millions de chauffeurs. La société n'a pas signalé cette fuite (concernant notamment des numéros de permis de conduire) et a payé 100 000 dollars aux pirates pour qu'ils suppriment les données.
Les fuites de données se suivent et ne se ressemblent décidément pas. Cette fois-ci, c'est au tour des clients et chauffeurs d'Uber d'en être victimes, comme le rapportent nos confrères de Bloomberg et le confirme la société de VTC.
57 millions de comptes concernés, dont 50 millions d'usagers
L'attaque remonte à octobre de l'année dernière et impacte pas moins de 57 millions de comptes. Il est ainsi question des noms, adresses email et numéros de téléphone pour plus de 50 millions d'utilisateurs. Les informations personnelles d'environ 7 millions de chauffeurs sont également concernées, notamment 600 000 numéros de permis de conduire américain.
La société affirme par contre qu'aucun numéro de sécurité sociale, de carte bancaire, détails sur les déplacements ou autre information n’a été récupéré par les pirates.
Pour arriver à leur fin, ces derniers ont pu accéder à un dépôt GitHub privé utilisé par les ingénieurs d'Uber. Ils ont alors récupéré les identifiants de connexion qui leur donnaient accès à un compte Amazon Web Services contenant une archive avec ces informations.
Ils ont ensuite envoyé une demande de rançon à Uber... une opération courante dans ce genre de situation, mais la réaction de la société l'est déjà bien moins.
Uber a payé 100 000 dollars aux pirates
Bloomberg explique en effet que la société a payé 100 000 dollars aux pirates pour qu'ils suppriment les données, et ainsi tenter de faire comme si de rien n'était. « Nous avons obtenu l'assurance que les données téléchargées avaient été détruites » ajoute Uber, à qui nous devons donc faire confiance sur ce point... La société ne dévoile par contre pas l'identité des attaquants, malgré la demande de Bloomberg.
Quoi qu'il en soit, Dara Khosrowshahi indique n'avoir été mis au courant que « récemment » de cette histoire. Le directeur général ajoute néanmoins qu'au « moment de l'incident, nous avons pris des mesures immédiates pour sécuriser les données et mettre fin à tout accès non autorisé par les individus ». Des mesures supplémentaires de protections ont également été mises en place. Dans tous les cas, les comptes concernés par cette fuite font l'objet d'une surveillance supplémentaire.
La justice prend le relai
« Rien de tout cela n'aurait dû arriver [...] Bien que je ne puisse effacer le passé, je peux m'engager au nom de tous les employés d'Uber à apprendre de nos erreurs » explique Dara Khosrowshahi. Le chef de la sécurité Joe Sullivan et un de ses adjoints ont été licenciés pour leur rôle dans cette histoire selon nos confrères.
De son côté, le procureur général de New York, Eric Schneiderman, a ouvert une enquête. Un client poursuit également en justice Uber « pour négligence » et cherche à monter un recours collectif, comme l'indique à nouveau Bloomberg.
Commentaires (32)
#1
100 000$ pour effacer 57 million de comptes Uber c’est léger il manque un zéro ou c’est de BTC 
" />
#2
« Nous avons obtenu l’assurance que les données téléchargées avaient été détruites »
" />
Eh bien, c’est presque exceptionnel comme sortie
#3
#4
Oups, we did it again
" />
#5
« Nous avons obtenu l’assurance que les données téléchargées avaient été détruites » ajoute Uber, à qui nous devons donc faire confiance sur ce point…
Ayez confiance, Uber avait mis un DRM, impossible de copier les fichiers
#6
La société affirme par contre qu’aucun numéro de sécurité sociale, de
carte bancaire, détails sur les déplacements ou autre information n’a
été récupéré par les pirates.
Ils ont cherché délibérément à cacher la vérité sur le piratage, on peut donc leur faire entièrement confiance sur ce point !
#7
uber, d’un scandale à l’autre…
#8
je sais vraiment pas quoi penser:
Au fonds, négocier et payer est peut-être la meilleure solution d’un point de vue protection des données personnelles. En même temps, c’est pas la bonne solution politiquement.
Par contre, tant dans les mesures organisationnelles et techniques destinée à protéger les données personnelles que dans la gestion de la crise, Uber s’est pris complètement les pieds dans le tapis. S’ils avaient un peu de considération pour leurs utilisateurs, ils les auraient informés plus vite.
Les diverses mesures prises après coup (licenciements, renforcement de la sécurité, monitoring des comptes compromis) vont dans le bon sens, mais j’espère que des deux côtés de l’atlantique, des procédures seront mise en place afin de vérifier la compliance d’uber.
Vivement l’arrivée de la GDPR, ça obligera les entreprises à se comporter plus raisonnablement avec les données personnelles.
#9
Et bien évidemment le PDG était pas au courant…
Et bien évidemment le SSIO et son adjoint sont licenciés…
Et bien entendu le SSIO à bénéficier de tout le budget nécessaire pour déployer une sécurité nécessaire…
Parce que c’est bien connu que les PDG valident toujours les projets de sécurité qui coutent un bras mais pourtant obligatoires !!
Cela me fait toujours rire comment ces patrons jouent les vierges effarouchées devant de telles affaires..
Si le chef de sécurité pouvait parler librement je serait bien curieux d’entendre la vérité sur cette affaire..
#10
#11
#12
c’est pas cher payé quand même.
" />
\(100K pour \)50M, ça fait 0.2 cent le compte client.
mais bon c’est toujours ça de gagné.
j’espère pour eux que les hackers ont gardé les Bitcoins, parce que le BTC était à \(740 y'a 1 an. maintenant il est à \)8250.
#13
Je suis assez d’accord avec toi, pour avoir travaillé avec des données sensible par le passé, c’est ahurissant comment d’un coté (CEO) comme de l’autre (Client payeur) tous le monde veut la sécurité maximale mais quand on arrive avec une demande de budget en rapport les niveaux d’exigences, là, chacun trouve une liste longue comme le bras de “bonnes” raisons pour passer outre.
Mais les Dev ne sont pas des anges non plus, ce sont souvent eux les premiers à mettre en place des contournement pour se simplifier la vie, en se disant que c’est pas grave, qu’il va corrigier dans la version suivante, ou qu’il effacera le dump de AWS dans 3 jours quand il aura fini ses tests et au final ce n’est j’amais fait et on se retrouve dans des situations comme celle-ci.
Virer le chef de la sécurité c’est bien, mais il n’est probablement coupable que de ne pas avoir été assez sur le dos des gars qui ont utilisé ce dump sans que lui le sache, quid des dev, et du CEO qui n’a pas financer les projets de securisation…
Quand tout le monde aura compris que la sécurité des données d’une entreprise c’est le travail de chacun au quotidien (du stagiaire au CEO) alors peut-etre que ce type de news se fera plus rare, le risque zero n’existant pas.
#14
C’est clair que c’est vraiment hilarant.
“Mais si on nous a dit que c’était fait!”
#15
« Nous avons obtenu l’assurance que les données téléchargées avaient été détruites » Un screenshot d’une corbeille vide je pense.
Entre escrocs, ils s’entendent.
#16
Euh, là, les identifiants de connexion au compte AWS étaient dans leur GitHub. Un grand classique.
Ce n’est pas une histoire de budget, là.
#17
#18
#19
En fait, quand tu es une entreprise d’envergure, c’est souvent plus facile et beaucoup moins cher de payer une compensation ou une rançon que de chercher à régler le problème.
Je prends l’exemple du monde de la finance (vécu) : si une banque a foiré un truc avec des clients et qu’ils ont le choix entre rembourser les clients en question, ou simplement payer une amende avec une compensation forfaitaire pour les clients (ce qui coute en principe plus cher), le choix de la banque peut être la seconde option. En effet, pour rembourser les clients (surtout si on parle d’intérêts qui sont assez chiants à calculer, surtout quand c’est un pro-rata), il va falloir employer des gens (souvent des consultants comme il s’agit d’un projet en principe limité dans le temps) pour définir exactement les sommes à rembourser pour chaque client ; et ça a un coût qui vient s’ajouter à celui des remboursements. Dans ces cas là, il est plus simple, plus facile et finalement moins cher d’aller directement à l’option 2.
Pour Uber, c’est exactement la même chose : on donne l’argent aux pirates pour acheter leur silence, ce qui permet d’éviter de payer des compensations, amendes, et de gérér en plus de ça une crise de com’ aux conséquences plus graves. Bon là, en l’occurrence, ça a foiré, mais en principe c’était beaucoup plus intéressant aussi bien financièrement qu’en termes d’image pour Uber de payer et cacher ça sous le tapis.
#20
Entre ça et le Colorado, c’est la fête.
#21
A coup sûr ils ont juste changé le mot de passe et rien de plus.
C’est ça qui est assez dingue tout de même, 100.000$ avec une “preuve comme quoi tout a été supprimé”.
Faut arrêter de prendre les gens pour des cons, les pirates sont pas assez cons pour avoir tout effacé et je suis convaincu que dans le côté sombre du web, il y a encore les données :-)
#22
Et donc par simple affiliation de responsabilités c’est que le chef de sécu et son adjoint qui ramassent ?
Quand y’a un problème d’interface chaise/clavier il faut se poser les bonnes question au sein de l’entreprise et revoir les principes de règlement intérieur..
#23
#24
“nous avons obtenu l’assurance que les données téléchargées ont été détruites”
" />
me voilà rassuré, bien joué Uber
#25
Il y a tellement de monde qui veut la mort d’Uber et de ses anciens dirigeants…
Les pirates peuvent être n’importe qui.
#26
J’ai pas dit que c’était la solution idéale.
Mais entre un pirate qui vole des données et les revend de toute façon, et une rançon qu’on paye pour éviter la revente, la rançon est en théorie mieux pour la sécurité des données personnelles à court terme.
Après bien évidemment que ça dépendra des moyens de contrôle et de l’honnêteté des uns et des autres et je sais pertinemment qu’il n’y a aucune raison de faire confiance au rançonneur.
#27
Vous faites tous un procès d’intention aux pirates. Rien ne dit qu’ils ont conservé les données. Après tout ils ont trouvé les identifiants d’un compte github, ce n’est pas un piratage. Ce sont peut-être des pirates honnêtes
" />
#28
Le PDG à l’époque n’est plus le même qu’aujourd’hui, il s’agissait de Travis Kalanick qui a démissionné en juin. Donc il n’est pas trop surprenant que le PDG actuel n’ait pas été mis au courant immédiatement dès son entrée en fonction.
#29
Donc je me fais embaucher à l’informatique chez Uber, et après une longue journée de boulot à copier toutes leurs donnés, je leur envoi une demande de rançon de $100 000 et ils payent?
" />
#30
#31
#32