Uber : 57 millions de comptes piratés, 100 000 dollars pour étouffer l'affaire

Du bug bounty agressif ? 32
Accès libre
image dediée
Crédits : PeopleImages/iStock
Securité
Par
le mercredi 22 novembre 2017 à 08:08
Sébastien Gavois

En octobre de l'année dernière, Uber s'est fait dérober des données personnelles de 50 millions de clients et 7 millions de chauffeurs. La société n'a pas signalé cette fuite (concernant notamment des numéros de permis de conduire) et a payé 100 000 dollars aux pirates pour qu'ils suppriment les données.

Les fuites de données se suivent et ne se ressemblent décidément pas. Cette fois-ci, c'est au tour des clients et chauffeurs d'Uber d'en être victimes, comme le rapportent nos confrères de Bloomberg et le confirme la société de VTC.

57 millions de comptes concernés, dont 50 millions d'usagers

L'attaque remonte à octobre de l'année dernière et impacte pas moins de 57 millions de comptes. Il est ainsi question des noms, adresses email et numéros de téléphone pour plus de 50 millions d'utilisateurs. Les informations personnelles d'environ 7 millions de chauffeurs sont également concernées, notamment 600 000 numéros de permis de conduire américain.

La société affirme par contre qu'aucun numéro de sécurité sociale, de carte bancaire, détails sur les déplacements ou autre information n’a été récupéré par les pirates.

Pour arriver à leur fin, ces derniers ont pu accéder à un dépôt GitHub privé utilisé par les ingénieurs d'Uber. Ils ont alors récupéré les identifiants de connexion qui leur donnaient accès à un compte Amazon Web Services contenant une archive avec ces informations.

Ils ont ensuite envoyé une demande de rançon à Uber... une opération courante dans ce genre de situation, mais la réaction de la société l'est déjà bien moins.

Uber a payé 100 000 dollars aux pirates

Bloomberg explique en effet que la société a payé 100 000 dollars aux pirates pour qu'ils suppriment les données, et ainsi tenter de faire comme si de rien n'était. « Nous avons obtenu l'assurance que les données téléchargées avaient été détruites » ajoute Uber, à qui nous devons donc faire confiance sur ce point... La société ne dévoile par contre pas l'identité des attaquants, malgré la demande de Bloomberg.

Quoi qu'il en soit, Dara Khosrowshahi indique n'avoir été mis au courant que « récemment » de cette histoire. Le directeur général ajoute néanmoins qu'au « moment de l'incident, nous avons pris des mesures immédiates pour sécuriser les données et mettre fin à tout accès non autorisé par les individus ». Des mesures supplémentaires de protections ont également été mises en place. Dans tous les cas, les comptes concernés par cette fuite font l'objet d'une surveillance supplémentaire. 

La justice prend le relai

« Rien de tout cela n'aurait dû arriver [...] Bien que je ne puisse effacer le passé, je peux m'engager au nom de tous les employés d'Uber à apprendre de nos erreurs » explique Dara Khosrowshahi. Le chef de la sécurité Joe Sullivan et un de ses adjoints ont été licenciés pour leur rôle dans cette histoire selon nos confrères.

De son côté, le procureur général de New York, Eric Schneiderman, a ouvert une enquête. Un client poursuit également en justice Uber « pour négligence » et cherche à monter un recours collectif, comme l'indique à nouveau Bloomberg.


chargement
Chargement des commentaires...