Une application Uber a permis d'accéder à des données de chauffeurs américains

Peur sur l'usurpation d'identité 8
En bref
image dediée
Crédits : Uber
Securité
Vincent Hermann

Uber a rendu disponible par accident et pendant quelques heures d’importants documents relatifs à certains de ses conducteurs. Le bug provenait d’une nouvelle application pensée pour ces derniers afin de faciliter la liaison avec l’entreprise. Uber a reconnu le problème et indique s’être mise en contact avec les personnes touchées.

Hier, Uber a lancé une nouvelle application. Nommée sobrement « Uber partner », elle avait pour objectif d’aider les conducteurs employés à avoir des liens plus efficaces et rapides avec l’entreprise. Ils pouvaient notamment scanner et envoyer des documents pour les stocker sur des serveurs. Mais peu de temps après l’arrivée de l’application et des premiers essais, des chauffeurs se sont rendu compte que des centaines de documents étaient accessibles à tous.

L'application Uber Partner s'emmêle les pinceaux

Rapidement, un fil Reddit apparait, ainsi que des commentaires dans les forums officiels de l’entreprise. On ne sait pas exactement ce qui s’est passé, mais il semble que les espaces de stockage aient étrangement fusionné, des centaines de chauffeurs pouvant alors voir les documents stockés par les autres. Problème, ces derniers sont sensibles car ils comprennent notamment le permis de conduire et d’autres informations personnelles pouvant conduire à des vols d’identité.

À force d’analyser la situation, plusieurs chauffeurs ont émis l’hypothèse que le problème venait d’une confusion avec le statut de certains d’entre eux. Il existe en effet des conducteurs de taxis qui travaillent également avec Uber. De nombreuses licences de taxis ont été aperçues, faisant craindre à leurs détenteurs des usurpations d’identités. On y trouvait également des numéros de sécurité sociale ainsi que des formulaires W9 (relatifs aux entreprises engageant des prestataires ou globalement des professionnels indépendants).

uber fuiteuber fuite
S
ource : Motherboard

Uber reconnaît le problème

Uber n’a pas nié les faits. L’information est rapidement remontée à l’entreprise hier dans l’après-midi : « Nous avons été avertis d’un problème touchant une fraction de nos conducteurs américains plus tôt dans l’après-midi. En 30 minutes, notre équipe de sécurité avait corrigé le souci. Nous aimerions remercier le chauffeur qui a attiré notre attention et nous présentons nos excuses aux chauffeurs dont les informations ont pu être affectées. Leur sécurité est incroyablement importante pour Uber et nous les contacterons directement ».

Selon la société, le problème a touché très précisément 674 conducteurs américains. Ce sont en tout moins d’un millier de documents qui ont été accessibles durant toute la durée du problème. La visibilité des documents dépend directement de l’arrivée des autres chauffeurs sur l’application : plus le temps passait, plus les informations visibles étaient nombreuses. Leur consultation n’était dans tous les cas possibles que depuis l’application Uber Partner, et uniquement si le chauffeur avait renseigné son compte pour s’y connecter. En outre, il fallait qu’il se soit servi de la fonction d’importation des documents pour « atterrir » sur la liste globale.

Tension autour de fraudes potentielles

Mais les chauffeurs touchés craignent désormais que les informations soient utilisées de manière malveillante. Interrogé par Motherboard, un conducteur a ainsi indiqué : « Je ne vais pas commettre une fraude à la Sécurité sociale, mais je ne fais pas confiance aux chauffeurs d’Uber ». Même son de cloche dans le forum de l’entreprise : « Cette information est pire que celle de la carte bancaire. Elle peut être utilisée pour créer des comptes et vérifier en ligne l’identité ».

L’une des solutions envisageables pour Uber serait de mettre automatiquement en place une protection active contre les usurpations d’identité pour les chauffeurs concernés. C’est la méthode qu’avait retenue par exemple Sony lors d’un vaste piratage du PlayStation Network qui avait entrainé la fuite de nombreuses informations personnelles.


chargement
Chargement des commentaires...