C’est une révélation qui ne va pas arranger les affaires d’Uber, déjà lourdement plombé par les polémiques : 57 millions d’utilisateurs d’Uber, dont 7 millions de chauffeurs, ont été piratés en 2016. Le CEO d’alors, Travis Kalanick, était au courant et l’ancien chef de la sécurité (CSO – Chief Security Officer) a aidé à dissimuler la bévue.
Comment ? Tout simplement en achetant le silence des hackers à l’origine du piratage. C’est Dara Khosrowshasi, le nouveau boss du service de VTC, qui a dévoilé les dessous de l’affaire dans la foulée des informations dévoilées par Bloomberg.
Une faille dissimulée par les dirigeants
Celui-ci assure avoir appris la nouvelle récemment : des pirates ont accédé aux serveurs GitHub et compromis les données de millions d’utilisateurs, comme les noms, adresses email et numéros de téléphone. Parmi les 7 millions de chauffeurs Uber concernés, 600 000 basés aux États-Unis ont vu leur numéro et permis de conduire téléchargés.
Toutefois, Uber assure que les informations les plus sensibles (historique de voyage, numéros de carte de crédit, numéros de sécurité sociale et dates de naissance) n’ont pas été téléchargées et que des mesures ont été mises en place au moment du piratage pour sécuriser la faille.
100 000 dollars de rançon
« Rien de cela n’aurait dû arriver, et je ne trouverai aucune excuse », Dara Khosrowshasi
Les attaquants ont été identifiés (deux individus n’appartenant pas à l’entreprise), mais Uber a préféré s’assurer qu’ils suppriment les données téléchargées avant de leur payer une rançon de 100 000 dollars pour acheter leur silence. Une démarche qui s’explique notamment par les discussions entamées à l’époque par la compagnie avec la Federal Trade commission concernant… sa gestion des données utilisateurs et deux violations distinctes de la vie privée.
Deux cadres « chargés de la gestion » de l’affaire ont depuis été congédiés, dont Joe Sullivan, le directeur de la sécurité. Les victimes ont été prévenues de la brèche et les chauffeurs ont bénéficié d’un programme de protection contre le vol d’identité.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
“Uber a préféré s’assurer qu’ils suppriment les données téléchargées avant de leur payer une rançon de 100 000 dollars”. Serieusement ? Et comment on vérifie que des hackeurs ont supprimé des données ?
Et surtout comment est justifié cette sortie de 100K dollars dans les comptes de l’entreprise ?
100k c’est peanuts pour Uber.
J’sais, je parle de comment les justifier comptablement, en as de contrôle si ils voulaient garder ça secret.
Enfin bon maintenant osef.
Des directeurs arrivent bien à faire passer le fait de s’acheter une voiture pour eux avec les soux de l’entreprise comme des frais “nécessaires” pour l’entreprise….
Donc bon….
( tu as le même principe avec les politiciens et l’utilisation de jet privé 😉 ).
Décidemment Uber ce n’est pas clair.