Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #21
    Chroniqueur Actualités

    Homme Profil pro
    Webmaster
    Inscrit en
    janvier 2014
    Messages
    840
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Webmaster
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2014
    Messages : 840
    Points : 20 773
    Points
    20 773

    Par défaut

    Le piratage des données de 57 millions de clients d’Uber aurait été commis par un hacker de 20 ans
    payé 100 000 $ sous forme de prime de bug bounty pour garder le silence

    Les jours se suivent et se ressemblent chez Uber. L’entreprise de mise en relation de véhicules avec chauffeurs et de particuliers connaît mois après mois de nombreux problèmes. Engagée dans plusieurs procès à travers le monde et en proie à plusieurs crises internes, l’entreprise pourrait voir son image être encore écornée à la suite de cette affaire de piratage de données parvenue à la connaissance du public.

    En effet, vers la fin du mois de novembre, le PDG de l’entreprise de VTC, Dara Khosrowshahi, a rapporté que deux pirates informatiques ont volé les données personnelles de 57 millions de clients et de chauffeurs d’Uber Technologies Inc. Le fait le plus aggravant est que cette violation de données était connue de son chef de sécurité, Joe Sullivan, et de l’un de ses adjoints, Craig Clark, depuis 2016. Pour couvrir certaines actions, ces derniers ont passé sous silence ces faits et ont effectué un paiement de 100 000 dollars aux pirates informatiques en leur demandant de supprimer les données en leur possession.

    Après avoir récemment appris l’accès non autorisé aux données de l’entreprise stockées sur la plateforme cloud d’Amazon ainsi que la dissimulation de cet incident par certains responsables de la sécurité informatique de l’entreprise, le PDG d’Uber a effectué un communiqué pour rassurer les chauffeurs et utilisateurs que des actions ont été prises depuis lors pour sécuriser les données et mettre fin à l’accès non autorisé. En outre, les deux responsables de sécurité qui se sont montrés fautifs en en étouffant l’affaire du piratage ont été limogés, car selon le directeur général d’Uber, l’incident aurait dû être révélé aux régulateurs au moment de sa découverte.

    Mais loin d’être satisfaits par les actions correctives de l’entreprise, de nombreux médias y compris Reuters ont mené leurs enquêtes afin de faire la lumière sur cet incident. Après avoir creusé sur cette affaire, Reuters rapporte qu’un des deux pirates informatiques impliqués dans le vol des données serait un homme âgé de 20 ans qui a reçu le montant indiqué (100 000 dollars) sous forme de récompense donnée à travers le programme de bug bounty organisé par l’entreprise. Une source de Reuters décrit le hacker comme « vivant avec sa mère dans une petite maison en essayant d’aider à payer les factures ». Reuters ajoute que les membres de l’équipe de sécurité d’Uber ne voulaient pas poursuivre une personne qui semblait ne pas constituer une menace véritable.

    En s’appuyant sur deux de ses sources, Reuters rapporte qu’Uber a fait le paiement pour confirmer l’identité du hacker et lui faire signer un accord de non-divulgation pour dissuader d’autres actes répréhensibles. Uber a également effectué une analyse de la machine du pirate informatique pour s’assurer que les données avaient été purgées, selon les sources.

    En principe, les programmes de bug bounty sont organisés pour motiver les experts en sécurité et autres chercheurs à dénicher de nouvelles failles qui pourraient être exploitées par des acteurs malveillants afin de mettre à mal les affaires d’une entreprise. Selon un ancien dirigeant de HackerOne, qui héberge le service de bug bounty d’Uber, les primes de récompense pour la découverte de failles se situent en général entre 5000 et 10 000 dollars. Un paiement de 100 000 dollars par un programme de primes de bogue serait extrêmement inhabituel et représenterait un « record absolu » dans le domaine des découvertes de failles. Cet avis est également partagé par Katie Moussouris, ancien cadre de HackerOne, qui estime que le versement de 100 000 $ d’Uber et le silence à ce moment-là étaient extraordinaires dans le cadre d’un tel programme. « Si cela avait été un bogue légitime, il aurait été idéal pour tous les participants de le crier sur les toits », a déclaré Moussouris. Le fait qu’Uber n’ait pas signalé la violation aux régulateurs, même si elle avait peut-être l’impression d’avoir réglé le problème, était une erreur, selon des personnes à l’intérieur et à l’extérieur de l’entreprise qui ont échangé avec Reuters.

    Le hacker qui vivrait en Floride aurait payé une deuxième personne pour les services qui impliquaient l’accès à la plateforme d’hébergement de code GitHub afin d’obtenir des informations d’accès aux données Uber stockées ailleurs, a indiqué l’une des sources de Reuters. Mais du côté de GitHub, les responsables de la plateforme ont indiqué que l’attaque n’impliquait pas une défaillance de ses systèmes de sécurité.

    Une dernière chose à noter dans cet incident, c’est qu’en général le décaissement de 100 000 dollars dans une entreprise sérieuse ne peut se faire sans l’accord préalable d’un certain nombre de hauts dirigeants. Reuters rapporte que selon certaines sources non divulguées, le PDG d’alors, Travis Kalanick, aurait été informé de la violation et du paiement effectué aux pirates. Kalanick, qui a démissionné en tant que PDG d’Uber en juin, a refusé de commenter l’affaire, rapporte Reuters.

    Source : Reuters

    Et vous ?

    Comment jugez-vous le règlement de cet incident par Uber ?

    Quelle est votre perception d’Uber après ce énième incident rapporté ?

    Voir aussi

    Uber licencie plus de vingt employés à la suite d'une enquête de harcèlement sexuel et envisage une refonte de son image et de son organisation
    Waymo vs Uber : le juge choqué aurait accusé Uber de dissimuler des preuves après avoir appris que l'entreprise aurait acheté le silence d'un employé
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #22
    Chroniqueur Actualités

    Homme Profil pro
    Consultant informatique
    Inscrit en
    avril 2018
    Messages
    248
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2018
    Messages : 248
    Points : 8 948
    Points
    8 948

    Par défaut Uber réglera une enquête pour violation de données pour 148 millions de dollars

    Uber versera 148 millions de dollars pour régler une enquête pour violation de données
    Pour avoir dissimulé l'accès non autorisé au public

    Pour régler une enquête nationale sur une violation de données impliquant Uber et ayant permis à un pirate informatique d’accéder à des informations de 57 millions de clients et chauffeurs, l’entreprise de mise en relation de véhicules avec chauffeurs et de particuliers devra verser 148 millions de dollars. C’est ce qu’a rapporté le journal The New York Times, le mercredi dernier.

    En effet, vers la fin du mois de novembre, le PDG de l’entreprise de VTC, Dara Khosrowshahi, a publié l’information selon laquelle deux pirates informatiques ont volé les données personnelles de 57 millions de clients et de chauffeurs d’Uber Technologies Inc. Le fait le plus aggravant est que cette violation de données était connue de son chef de sécurité, Joe Sullivan, et de l’un de ses adjoints, Craig Clark, depuis 2016. Pour couvrir certaines actions, ces derniers ont passé sous silence ces faits et ont effectué un paiement de 100 000 dollars aux pirates informatiques sous forme de prime bogue pour leur silence.

    Nom : Uber01.jpg
Affichages : 766
Taille : 34,6 Ko

    Après avoir appris cet accès non autorisé aux données ainsi que l’acte de dissimulation de l’incident par certains responsables chargés de la sécurité informatique de l’entreprise, le PDG d’Uber a fait un communiqué pour rassurer les chauffeurs et utilisateurs que des actions ont été entreprises depuis lors pour sécuriser les données et mettre fin à l’accès non autorisé. Par ailleurs, les responsables informatiques fautifs avaient été limogés, car l’information de l’accès non autorisé aurait dû être révélée non seulement aux régulateurs, mais également aux utilisateurs au moment de sa découverte.

    L’information rendue publique par le PDG d’Uber a suscité une enquête des procureurs généraux des États-Unis pour déterminer si les lois sur la notification de violation de données n’ont pas été transgressées par la société lorsqu'elle a choisi de supprimer les données piratées de ses clients et chauffeurs et de ne pas informer les consommateurs que leurs informations avaient été compromises. Les données compromises comprenaient des noms et des numéros de permis de conduire de 600 000 conducteurs.

    « La décision d'Uber de dissimuler cette violation était une violation flagrante de la confiance du public », a déclaré Xavier Becerra, procureur général de Californie, dans un communiqué. « La société n'a pas réussi à protéger les données des utilisateurs et à informer les autorités lorsqu'elles ont été exposées. », a-t-il ajouté.

    La société de transport, qui veut retrouver la confiance des clients et chauffeurs et refaire son image, collabore pleinement à l’enquête. Elle versera 148 millions de dollars dont le règlement sera réparti entre les 50 États et le district de Columbia. Selon Tony West, le directeur juridique d'Uber, la société avait récemment engagé un responsable de la protection de la vie privée et un responsable de la confiance et de la sécurité. « Nous savons que gagner la confiance de nos clients et des régulateurs avec lesquels nous travaillons à l’échelle mondiale n’est pas une mince affaire. Après tout, la confiance est difficile à gagner et facile à perdre », a déclaré M. West.

    En avril dernier, la Federal Trade Commission (FTC) a mené également une enquête qu’elle a focalisée sur la violation de données. La commission soumet également uber à des audits de confidentialité réguliers.

    Par ce règlement, les procureurs généraux des États-Unis veulent interpeler tous les entreprises qui conservent les données utilisateur sur leurs responsabilités. « Les entreprises en Californie et dans tout le pays se voient confier des informations privées précieuses », a déclaré M. Becerra. « Ce règlement est diffusé à tous afin que nous les tenions responsables de la protection de ces données. »

    Source : The New York Times

    Et vous ?

    Que pensez-vous du dénouement de cette affaire ?
    Pensez-vous qu’il pourra servir de leçon aux entreprises qui s’adonnent à ces genres de pratiques ?

    Voir aussi

    Les conducteurs d'entreprises de VTC ont vu leurs gains diminuer de moitié entre 2013 et 2018, idem pour les autres travailleurs de la gig economie
    Uber aurait enregistré des pertes s'élevant à 4,5 milliards USD en 2017, la majeure partie de ses revenus servirait à payer ses chauffeurs
    Un expert met en cause la technologie déployée par Uber dans l'accident mortel impliquant sa voiture autonome, et livre son analyse détaillée
    Uber aurait perdu 891 millions USD au 2nd trimestre 2018, les investisseurs exhorteraient la société à vendre la division de voiture autonome
    Uber ferme sa division dédiée aux camions autonomes, afin de recentrer ses efforts de conduite autonome sur les voitures uniquement
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  3. #23
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    juin 2016
    Messages
    326
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2016
    Messages : 326
    Points : 11 301
    Points
    11 301

    Par défaut Les autorités britanniques et néerlandaises infligent une amende d'un million d'euros à Uber

    Les autorités britanniques et néerlandaises infligent une amende d'un million d'euros à Uber
    pour une violation des données de ses clients en 2016

    Uber est une entreprise technologique américaine qui développe et exploite des applications mobiles de mise en contact d'utilisateurs avec des conducteurs réalisant des services de transport. L'entreprise vient d'écoper d'une amende de plus de 900 000 £ pour une violation des données de 2016 qui a affecté les données des clients. Le Bureau du Commissaire à l'information, « Information Commissioner's Office (ICO) », un organisme public britannique qui défend le droit à l'information dans l'intérêt public, en promouvant la transparence des organismes publics et la protection des données à caractère personnel, a condamné Uber à une amende de 385 000 £, soit environ 434 000 € pour n'avoir pas assez protéger les informations personnelles de ses clients lors d'une cyberattaque.

    Au même moment, « Dutch Data Protection Authority (DPA) », l'autorité néerlandaise de la protection des données qui est l'autorité de protection des données des Pays-Bas, a infligé aussi une amende de 600 000 € à Uber pour violation de la législation néerlandaise sur la protection des données. Au total, l'entreprise californienne a donc écopé d'une amende d'environ un million d'euros. Pour rappel, vers la fin du mois de novembre 2017, le PDG de l’entreprise de VTC, Dara Khosrowshahi, avait rapporté que deux pirates informatiques ont volé les données personnelles de 57 millions de clients et de chauffeurs d’Uber Technologies Inc. Le fait le plus aggravant est que cette violation de données était connue de son chef de sécurité, Joe Sullivan, et de l’un de ses adjoints, Craig Clark, depuis 2016.

    Nom : uber-serp-logo-f6e7549c89-770x515.jpg
Affichages : 588
Taille : 9,1 Ko

    Pour couvrir certaines actions, ces derniers ont passé sous silence ces faits et ont effectué un paiement de 100 000 dollars aux pirates informatiques en leur demandant de supprimer les données en leur possession. Après avoir creusé sur cette affaire, Reuters avait rapporté qu’un des deux pirates informatiques impliqués dans le vol des données serait un homme âgé de 20 ans qui a reçu le montant indiqué (100 000 dollars) sous forme de récompense donnée à travers le programme de bug bounty organisé par l’entreprise. Une source de Reuters avait décrit le hacker comme « vivant avec sa mère dans une petite maison en essayant d’aider à payer les factures ». Reuters ajoute que les membres de l’équipe de sécurité d’Uber ne voulaient pas poursuivre une personne qui semblait ne pas constituer une menace véritable.

    Le PDG a assuré qu’au moment de l'incident, Uber a pris des mesures immédiates pour sécuriser les données et mettre fin à l'accès non autorisé par les individus. Elle a ensuite identifié les individus et obtenu l'assurance que les données téléchargées avaient été détruites. Puis elle a mis en place des mesures de sécurité pour restreindre l'accès aux contrôles sur ses comptes de stockage basés sur le cloud et les renforcer. Les données compromises comprenaient des noms et des numéros de permis de conduire de 600 000 conducteurs. « La décision d'Uber de dissimuler cette violation était une violation flagrante de la confiance du public », avait déclaré Xavier Becerra, procureur général de Californie, dans un communiqué. « La société n'a pas réussi à protéger les données des utilisateurs et à informer les autorités lorsqu'elles ont été exposées. », a-t-il ajouté.

    La société de transport, qui veut retrouver la confiance des clients et chauffeurs et refaire son image, collabore pleinement à l’enquête. Elle avait décidé de verser 148 millions de dollars dont le règlement sera réparti entre les 50 États et le district de Columbia. Selon Tony West, le directeur juridique d'Uber, la société avait récemment engagé un responsable de la protection de la vie privée et un responsable de la confiance et de la sécurité. « Nous savons que gagner la confiance de nos clients et des régulateurs avec lesquels nous travaillons à l’échelle mondiale n’est pas une mince affaire. Après tout, la confiance est difficile à gagner et facile à perdre », avait déclaré M. West.

    « Il s’agit non seulement d’une grave défaillance en matière de protection des données de la part d’Uber mais également d’un mépris total pour les clients et les chauffeurs dont les données personnelles avaient été volées », déclare Steve Eckersley, directeur des enquêtes au sein de l’ICO, cité dans un communiqué. « A l’époque, aucune mesure n’avait été prise pour avertir la moindre personne concernée par les faits ni pour proposer de l’aide et du soutien », a-t-il ajouté. L’ICO a précisé que des données de près de 82 000 chauffeurs basés en Grande-Bretagne avaient été volées en octobre et en novembre 2016. Les autorités néerlandaises ont pour leur part fait état de 174 000 personnes affectées par l’incident. Dans un communiqué, Uber se dit « satisfait d’avoir fermé ce chapitre sur l’incident des données de 2016 ».

    « Payer les attaquants et ensuite garder le silence à ce sujet par la suite n'était pas, à notre avis, une réponse appropriée à la cyberattaque », a déclaré Eckersley. La loi sur la protection des données (Data Protection Act, DPA) de 1998 ne comportait aucune obligation légale, mais tout a changé depuis l'entrée en vigueur du RGPD en mai dernier. Les entreprises disposent de 72 heures pour informer l’ICO ou disposer d’un motif valable pour ne pas le faire. Les deux amendes émises se sont donc limitées à celles autorisées par la loi de 1998 sur la protection des données. Si l'incident de sécurité s'était produit après l'entrée en vigueur du RGPD, les amendes auraient pu être beaucoup plus élevés.

    Sources : DPA, ICO

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi

    Uber : le piratage des données de 2016 aurait été commis par un hacker de 20 ans payé 100 000 $ sous forme de prime de bug bounty pour son silence

    Uber a été victime d'un piratage massif en 2016 et a préféré payer 100 000 dollars aux hackers pour étouffer l'affaire

    Uber versera 148 millions de dollars pour régler une enquête pour violation de données, pour avoir dissimulé l'accès non autorisé au public
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

Discussions similaires

  1. Réponses: 14
    Dernier message: 21/06/2018, 20h29
  2. Mozilla reconnait que Bugzilla a été victime d'un piratage
    Par Stéphane le calme dans le forum Firefox
    Réponses: 9
    Dernier message: 14/09/2015, 18h44
  3. Le site de TF1 victime d'un piratage
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 29
    Dernier message: 17/01/2015, 20h13
  4. France : le site de l'UMP victime d'un piratage à l'ouverture des votes
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 23
    Dernier message: 05/12/2014, 14h18
  5. Tor annonce avoir été victime d'un piratage
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 7
    Dernier message: 01/08/2014, 23h38

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo