Uber reconnaît avoir caché le vol de données de 2016

En 2016, Uber est victime d’une fuite de données de grande ampleur – les noms, adresses mail, numéros de téléphone et numéros de permis de conduire de 50 millions de clients et 7 millions de chauffeurs Uber du monde entier.

L’intrusion a été rendue possible par la négligence des développeurs d’Uber, qui n’avaient pas assez bien sécurisé un compte GitHub privé permettant d’obtenir les accès à un compte AWS contenant les informations volées.

La direction d’Uber aurait dû signaler le piratage, dès novembre 2016, à la FTC et aux personnes concernées. Au lieu de cela, son chef de la sécurité de l’époque, Joseph Sullivan, a payé aux pirates 100 000 dollars (issus du programme de bug bounty d’Uber), et leur a fait signer un accord de confidentialité pour qu’ils ne révèlent pas leur forfait.

Mais, dès la nomination de la nouvelle CEO, Dara Khosrowshahi, en 2017, la direction d’Uber a révélé publiquement ce piratage. Le service de VTC a ensuite payé, en septembre 2018, 148 millions de dollars aux 50 États américains et au gouvernement fédéral qui lui reprochaient d’avoir trop tardé à dévoiler ce vol de données.

Ce vendredi 22 juillet 2022, Uber a passé un accord avec le procureur chargé de cette affaire : le service de VTC a officiellement reconnu sa pleine responsabilité, en échange d’un abandon des poursuites contre lui.

Uber va de plus continuer de collaborer avec la justice dans l’enquête contre Joseph Sullivan, inculpé personnellement pour la dissimulation de ce vol de données.