Uber a payé des pirates pour cacher une violation massive des données

Getty





Uber a pris de nombreuses erreurs ces dernières années. Mais la dernière en date est certainement l'une des plus dommageables. Bloomberg a révélé que l'entreprise a dissimulé pendant plus d'un an une violation massive des données qui a exposé les dossiers sensibles de millions de conducteurs et de clients. La violation, qui s'est produite en octobre 2016, aurait été cachée par le chef de la sécurité d'Uber, Joe Sullivan, et d'autres. Sullivan et l'un de ses adjoints ont été évincés par l'entreprise. Travis Kalanick, cofondateur et ancien PDG de la société, a été mis au courant de la violation peu de temps après qu'elle se soit produite.

Dans un communiqué de presse publié peu de temps après la parution de l'histoire de Bloomberg, l'actuel PDG d'Uber, Dara Khosrowshahi, a déclaré que les pirates avaient pu télécharger des fichiers contenant une quantité importante d'informations, notamment les noms et les numéros de permis de conduire d'environ 600 000 conducteurs aux États-Unis, ainsi que des informations personnelles tels que les noms, les adresses e-mail et les numéros de téléphone portable de 57 millions d'utilisateurs d'Uber dans le monde. La société affirme que les experts médico-légaux extérieurs qu’elle a appelés pour analyser la violation n’ont vu aucune indication que les numéros de carte de crédit, les coordonnées bancaires et les numéros de sécurité sociale ont été téléchargés. Mais il n'a pas dit que ces détails n'avaient pas été violés.

Comme pour les méga-hacks précédents, plus de détails apparaîtront dans les jours et les semaines à venir. Mais il y a déjà des questions pressantes qui exigent des réponses rapides. Qui exactement au sein du personnel d'Uber était au courant du piratage après qu'il se soit produit, et combien de personnes ont été activement impliquées dans la dissimulation, qui impliquait de payer 100 000 $ aux pirates pour supprimer des données et garder la violation silencieuse ? Quelqu'un du conseil d'administration d'Uber a-t-il été informé de l'intrusion à l'époque ? Si non, pourquoi pas ? Et pourquoi Uber n'a-t-il pas informé rapidement les régulateurs du piratage ?



Histoire connexe Un nombre restreint mais croissant d'entreprises de cybersécurité introduisent des programmes de garantie qui peuvent servir d'assurance contre le coût d'une éventuelle violation de données.

Le rapport de Bloomberg indique que lorsque la violation s'est produite, Uber discutait déjà avec les régulateurs américains de violations distinctes de la vie privée et venait de régler une affaire avec la Federal Trade Commission pour mauvaise gestion des données des consommateurs. Il a également rapporté le mois dernier que le conseil d'administration de la société avait lancé une enquête sur les activités de l'équipe de sécurité de Sullivan. C'est le cabinet d'avocats extérieur à la tête de cet effort qui a découvert le piratage et la dissimulation.

La violation soulève de grandes questions sur l'état des pratiques de sécurité d'Uber. Selon Bloomberg, les intrus ont pu trouver les identifiants de connexion des ingénieurs d'Uber sur Github, un référentiel de code largement utilisé. Ceux-ci leur ont donné accès à un serveur de cloud computing Amazon contenant les données. C'est une violation surprenante des fondamentaux de la sécurité. Il est également étonnant que de si grandes quantités de données personnelles sensibles soient apparemment détenues sur un service tiers sans être cryptées.

Uber se démène désormais pour limiter les dommages à sa réputation. La société a embauché un ancien avocat général de la NSA pour l'aider à repenser ses pratiques de sécurité et a également retenu Mandiant, une entreprise de cybersécurité qui a traité les retombées de nombreuses violations très médiatisées. Khosrowshahi n'a appris l'existence de la violation que récemment. Rien de tout cela n'aurait dû se produire, a-t-il déclaré dans le communiqué, et je ne ferai pas d'excuses pour cela. Tant mieux, car les comportements et les pratiques qui ont conduit à ce fiasco sont inexcusables.



cacher