Uber a avoué mardi 21 novembre que des données personnelles de 57 millions de personnes, clients et chauffeurs lui ont été dérobées en octobre 2016. L’information avait été dissimulée jusqu’à présent bien que la loi américaine oblige l’entreprise à informer les autorités et le public du vol de leurs données. Le nouveau patron de Uber, Dara Khosrowshahi indique avoir informé les autorités mardi 21 novembre.
Le responsable de la sécurité de Uber, Joe Sullivan, un ancien procureur fédéral, et un de ses adjoints ont du quitter la société. Ils avaient participé à la dissimulation du vol et payé une rançon de 100 000 $ aux hackers pour qu’ils fassent disparaître ces données afin de conserver le silence sur ce piratage.
Les données volées concerne 7 millions de chauffeurs. Pour 600 000 d’entre eux, leur numéro de permis de conduire a été dérobé. N’y figurent pas les numéros de sécurité sociale ni les numéros de cartes bancaires. Quant aux 50 millions de passagers, ont été volés les noms, les adresses emails et les numéros de téléphone.
Le vol a été particulièrement simple. Les hackers se sont introduits dans les comptes de deux ingénieurs logiciels de Uber sur la plateforme GitHub – plateforme privée très populaire de partage de programmes informatiques – et à partir de là ont pu récupérer les données personnelles qui étaient stockées dans le Cloud Amazon.
L’ancien dirigeant de Uber, Travis Kalanick avait été informé du piratage en novembre 2016. Le fait que les autorités n’aient pas été informées du piratage d’octobre 2016 est lié aux négociations alors en cours entre elles et Uber sur d’autres vols de données et d’autres affaires. Le procureur de New York, Eric Schneiderman a annoncé mardi qu’il ouvrait une enquête suite à la révélation du piratage.
