Uber a caché le piratage de 57 millions de comptes en payant des cybercriminels

Uber a tenté de cacher le piratage massif de 57 millions de comptes clients et 7 millions de comptes chauffeurs l’an dernier en payant une rançon de 100.000 dollars à des cybercriminels. Le piratage, admis par Dara Khosrowshahi, nouveau patron de la firme,  a eu lieu il y a un an. Ce piratage inclut les noms, adresses email et numéros de téléphone des clients. Ainsi que les noms et numéros de permis de conduire des chauffeurs. Uber semble faire étonnamment confiance aux hackers…

En 2016 un énorme piratage a touché Uber : le nouveau patron de l’entreprise Dara Khosrowshahi qui remplace Travis Kalanick a admis mardi 21 novembre que les données associées à 57 millions de comptes clients et 7 millions de comptes de chauffeurs dans le monde (dont 600.000 aux USA) ont été piratées. Le dirigeant explique n’être au courant que depuis peu de cette affaire, et reconnaît que son entreprise a tenté de le cacher pendant un an. Pour ne rien arranger, nos confrères de Bloomberg affirment qu’Uber a payé les responsables de l’attaque une rançon de 100.000 dollars – un point que Dara Khosrowshaki n’a pas confirmé.

Mais il affirme que son entreprise a “immédiatement pris les mesures pour sécuriser les données” au moment de l’incident. Et d’ajouter : “nous avons identifié ces individus et obtenu des assurances que les données collectées seraient détruites”. Uber semble confiant vis-à-vis de ces “assurances”, puisque la firme ne recommande pas de changer de mot de passe. L’entreprise tente également de limiter la portée des données dérobées. La firme précise en effet que les données de paiements, date de naissance et numéros de sécurité sociale n’ont pas été dérobés.

Uber : piratage massif de 57 millions de comptes, la firme a tenté de tout cacher en payant les cybercriminels

Uber précise que la firme avait l’obligation d’informer les chauffeurs et les régulateurs du piratage mais a semble-t-il préféré acheter le silence des cybercriminels. Le nouveau patron de la firme qui a pris ses fonctions cet été a déclare : “rien de cela n’aurait du arriver, et je ne m’excuserai pas pour cela”. Une enquête a été ouverte par la justice américaine. Selon Bloomberg ces révélations interviennent alors que l’équipe d’administration de la firme avait lancé une enquête autour des agissements de Joe Sullivan, le responsable sécurité de la firme.

Les hackers se seraient introduits dans le GitHub utilisé par les développeurs d’Uber, et de là dans le compte Amazon Web Services utilisé par l’entreprise. Ils y auraient trouvé un fichier contenant les données. Ces derniers auraient ensuite demandé à la firme le paiement d’une rançon. Bien sûr, même si la rançon a été effectivement payée, rien ne garantit que les hackers ont effectivement supprimé les données. Joe Sullivan et un autre responsable de l’entreprise ont été limogés des suites de cette affaire.