Discussion :

[Stéphane le calme]

Uber a été victime d'un piratage massif en 2016 et a préféré payer les hackers,
pour étouffer l'affaire

Des pirates informatiques ont volé les données personnelles de 57 millions de clients et de chauffeurs à Uber Technologies Inc., une violation massive que l'entreprise a dissimulée pendant plus d'un an. Cette semaine, la firme de transport a renvoyé son chef de la sécurité et l'un de ses adjoints pour leur rôle pour cacher cette violation, qui comprenait un paiement de 100 000 $ aux assaillants.

C’est ce qu’a révélé Dara Khosrowshahi, PDG de l’entreprise de VTC :

« En tant que PDG d'Uber, mon travail consiste à définir notre orientation pour l'avenir, qui commence par la création d'une entreprise dont chaque employé, partenaire et client Uber peut être fier. Pour que cela se produise, nous devons être honnêtes et transparents alors que nous travaillons à réparer nos erreurs passées.

« J'ai appris récemment qu'à la fin de l'année 2016, nous avons eu connaissance du fait que deux personnes extérieures à l'entreprise avaient accédé de manière inappropriée aux données d'utilisateurs stockées sur un service de cloud tiers que nous utilisons. L'incident ne concerne pas une violation de nos systèmes ou de notre infrastructure d'entreprise.

« Nos experts n'ont pas vu d'indication que l'historique du lieu de voyage, les numéros de carte de crédit, les numéros de compte bancaire, les numéros de sécurité sociale ou les dates de naissance ont été téléchargés. Cependant, les personnes ont pu télécharger des fichiers contenant une quantité importante d'autres informations, notamment :
les noms et numéros de permis de conduire d'environ 600 000 conducteurs aux États-Unis ;
certaines informations personnelles de 57 millions d'utilisateurs Uber à travers le monde, y compris les conducteurs décrits ci-dessus. Ces informations comprennent les noms, les adresses électroniques et les numéros de téléphone mobile. »

Le PDG a assuré qu’au moment de l'incident, Uber a pris des mesures immédiates pour sécuriser les données et mettre fin à l'accès non autorisé par les individus. Elle a ensuite identifié les individus et obtenu l'assurance que les données téléchargées avaient été détruites. Puis elle a mis en place des mesures de sécurité pour restreindre l'accès aux contrôles sur ses comptes de stockage basés sur le cloud et les renforcer.

Les auteurs ont donc été rapidement identifiés, mais Uber a choisi d’étouffer l’affaire en payant une rançon de 100 000 dollars pour obtenir le silence des auteurs. Il faut préciser qu’à l’époque de l’incident, Uber était en pleine discussion avec la Federal Trade Commission au sujet de sa gestion des données utilisateurs. Uber a déclaré qu'il croit que l'information n'a jamais été utilisée, mais a refusé de divulguer l'identité des agresseurs.

« Bien que je ne puisse pas effacer le passé, je peux m'engager au nom de tous les employés d'Uber que nous allons apprendre de nos erreurs. Nous changeons notre façon de faire des affaires, plaçant l'intégrité au cœur de chaque décision que nous prenons et travaillant dur pour gagner la confiance de nos clients », a déclaré le PDG de l’entreprise.

Après la révélation d'Uber mardi, le procureur général de New York Eric Schneiderman a lancé une enquête sur le piratage, a déclaré sa porte-parole, Amy Spitalnick. La société a également été poursuivie pour négligence à l'égard de la violation par un client à la recherche d'un statut de recours collectif.

Suite à cette information, Christophe Badot, Directeur France de Varonis, a déclaré : « On constate une fois encore que les pénalités dérisoires n'incitent pas suffisamment les entreprises à protéger leurs données. Lorsque le RGPD (Règlement Général sur la Protection des Données) entrera en vigueur en mai prochain, les entreprises qui manipuleront les données des citoyens de l'UE seront confrontées à des sanctions beaucoup plus sévères et à l’obligation de respecter une période de divulgation de 72 heures après la découverte d’une violation de données. Pour mettre les choses en perspective : dans le cadre GDPR, Uber pourrait être condamné à une amende pouvant atteindre 260 000 000 $ pour cette infraction (4 % de son chiffre d'affaires de 6,5 milliards de dollars en 2016). Lors du précédent piratage survenu en 2014, Uber avait été condamné à une amende de 20 000 $ seulement par l'État de New York, loin d’être dissuasif pour une entreprise qui gagne des milliards de dollars. »

De son côté, Jérôme Segura, Lead Malware Intelligence Analyst chez Malwarebytes, a affirmé que « Ce que nous savons jusqu'à présent, c'est que les pirates ont réussi à accéder à des comptes GitHub privés contenant les identifiants et les mots de passe de certains développeurs d’Uber. Grâce à ces informations, ils ont pu se connecter aux serveurs d’Amazon (utilisés par Uber), y télécharger des millions d'enregistrements. Ils ont ensuite pu se retourner vers Uber pour les faire chanter.

« Ce qui est troublant est que ce piratage se soit produit il y a déjà un an et ne soit annoncé qu’aujourd’hui. Cela viole très probablement de nombreuses lois sur la notification des violations de données. Les motivations ayant décidé Uber à payer les pirates ne sont pas encore claires. S’agissait-il de couvrir la brèche, de protéger leurs utilisateurs, les deux ? La quantité et le type de données dont on parle ici pourraient atteindre un prix très élevé au marché noir.

« Cette attitude soulève également la question de la confiance d’Uber en ce qui concerne le paiement de la rançon et l'obtention de garanties quant à la suppression des données volées. Quoi qu'il en soit, techniquement il ne s'agit pas d'une nouvelle brèche, mais d’une situation plus complexe pour laquelle le gouvernement et les institutions juridiques vont exiger des réponses. »

Source : Uber

Mise à jour du 23/11/2017 : Une campagne de phishing s'appuie sur la mauvaise communication d'Uber

Des cyber escrocs ont eu l’idée de profiter de l’occasion pour lancer une campagne de phishing. Pour cela, ils ont rédigé un courriel d’excuse à l’attention des clients et chauffeurs Uber. C'est le chercheur en sécurité Dale Meredith qui en a parlé dans un Tweet et qui suggère de prévenir des personnes qui pourraient se faire avoir.

« Nos plus sincères excuses, vous avez peut-être entendu parler du fait qu’Uber a été compromis l'année dernière. Nous sommes désolés de vous informer que vos informations ont, malheureusement, été confirmées comme faisant partie de celles qui ont été dérobées. Veuillez cliquer ci-dessous pour confirmer que vous avez reçu ce message et modifier votre mot de passe. »

Le courriel de phishing donne même des conseils de sécurité, vraisemblablement dans une tentative de paraître authentique : « Par mesure de sécurité, vous voudrez changer vos mots de passe sur tous les autres comptes en ligne que vous utilisez, pour éviter d'autres dommages. »

Source : Twitter Dale Meredith

[skuatamad]

Uber avait été condamnée à une amende de 20 000 $ seulement par l'État de New York, loin d’être dissuasif pour une entreprise qui gagne perd des milliards de dollars.

Fixed

[koyosama]

De son côté, Jérôme Segura, Lead Malware Intelligence Analyst chez Malwarebytes, a affirmé que « Ce que nous savons jusqu'à présent, c'est que les pirates ont réussi à accéder à des comptes GitHub privés contenant les identifiants et les mots de passe de certains développeurs d’Uber. Grâce à ces informations, ils ont pu se connecter aux serveurs d’Amazon (utilisés par Uber), y télécharger des millions d'enregistrements. Ils ont ensuite pu se retourner vers Uber pour les faire chanter.

C'est ça un développeur Uber ...
Mouais après le meetup que j'ai fait hier (la phrase: "On verra plus tard les bonnes pratiques ...", cela me hante toujours ), j'ai mauvaise image de la sécurité informatique en Amérique du nord maintenant.

C'est si dur que ça d'utiliser git correctment ??? Et je suis sûr que ce sont encore les gars payé 100k. En plus, ils ont pas d'excuses, les bonnes pratiques sont les codes reviews, les pair programming et le fameux pull request de github.
Rien à foutre que ce soit privé.

[gagouze2]

encore une communication à la yahoo !!!!
Bravo les mec

[ilapasle25]

ils rendent quand même de bon services (contrairement à yahoo), je vous pardonne.

[Namica]

Plus facile dans le cas Uber ?
Hummm...
L'europe impose des contraintes de protection de la vie privé au travers de directives : tout à fait d'accord.
Ensuite les différents pays de l'union doivent mettre cela en œuvre dans leur législations respectives avec la création des organes ad-hoc (CNIL, ...)
Ben oui, mais : les GAFAM (plus UBER) eux, sont internationaux.

• Et chaque organe de contrôle d'un pays de l'union devrait à son niveau effectuer le contrôle et le cas échéant prononcer une sanction !!!
• Et gérer dans chaque pays de l'union les recours et frais de justice ?
• Avec les risques de jurisprudence différentes ?
• Et le problème des lobbyistes GAFAM dans chaque membre de l'U.E. ?

NON
Au regard du pouvoir international des GAFAM, il ne sert à rien de disperser les efforts de protection de la vie privée dans diverses législations et organes nationaux devant de toute manière répondre à la même directive européenne. C'est une perte d'énergie et un coût.

Le groupe 29 l'a bien compris en se coordonnant pour ce problème.
Cependant, il est temps que cela soit centralisé au niveau de l'union. ce serait plus efficace.

Maintenant, faut-il laisser ce pouvoir dans le bras exécutif de l'union ?
J'en suis moins sur (et même pas du tout).
Dans le pouvoir judiciaire, oui, mais comment ?

Qu'en pensez-vous ?

[Bill Fassinou]

Les autorités britanniques et néerlandaises infligent une amende d'un million d'euros à Uber
pour une violation des données de ses clients en 2016

Uber est une entreprise technologique américaine qui développe et exploite des applications mobiles de mise en contact d'utilisateurs avec des conducteurs réalisant des services de transport. L'entreprise vient d'écoper d'une amende de plus de 900 000 £ pour une violation des données de 2016 qui a affecté les données des clients. Le Bureau du Commissaire à l'information, « Information Commissioner's Office (ICO) », un organisme public britannique qui défend le droit à l'information dans l'intérêt public, en promouvant la transparence des organismes publics et la protection des données à caractère personnel, a condamné Uber à une amende de 385 000 £, soit environ 434 000 € pour n'avoir pas assez protéger les informations personnelles de ses clients lors d'une cyberattaque.

Au même moment, « Dutch Data Protection Authority (DPA) », l'autorité néerlandaise de la protection des données qui est l'autorité de protection des données des Pays-Bas, a infligé aussi une amende de 600 000 € à Uber pour violation de la législation néerlandaise sur la protection des données. Au total, l'entreprise californienne a donc écopé d'une amende d'environ un million d'euros. Pour rappel, vers la fin du mois de novembre 2017, le PDG de l’entreprise de VTC, Dara Khosrowshahi, avait rapporté que deux pirates informatiques ont volé les données personnelles de 57 millions de clients et de chauffeurs d’Uber Technologies Inc. Le fait le plus aggravant est que cette violation de données était connue de son chef de sécurité, Joe Sullivan, et de l’un de ses adjoints, Craig Clark, depuis 2016.

Pour couvrir certaines actions, ces derniers ont passé sous silence ces faits et ont effectué un paiement de 100 000 dollars aux pirates informatiques en leur demandant de supprimer les données en leur possession. Après avoir creusé sur cette affaire, Reuters avait rapporté qu’un des deux pirates informatiques impliqués dans le vol des données serait un homme âgé de 20 ans qui a reçu le montant indiqué (100 000 dollars) sous forme de récompense donnée à travers le programme de bug bounty organisé par l’entreprise. Une source de Reuters avait décrit le hacker comme « vivant avec sa mère dans une petite maison en essayant d’aider à payer les factures ». Reuters ajoute que les membres de l’équipe de sécurité d’Uber ne voulaient pas poursuivre une personne qui semblait ne pas constituer une menace véritable.

Le PDG a assuré qu’au moment de l'incident, Uber a pris des mesures immédiates pour sécuriser les données et mettre fin à l'accès non autorisé par les individus. Elle a ensuite identifié les individus et obtenu l'assurance que les données téléchargées avaient été détruites. Puis elle a mis en place des mesures de sécurité pour restreindre l'accès aux contrôles sur ses comptes de stockage basés sur le cloud et les renforcer. Les données compromises comprenaient des noms et des numéros de permis de conduire de 600 000 conducteurs. « La décision d'Uber de dissimuler cette violation était une violation flagrante de la confiance du public », avait déclaré Xavier Becerra, procureur général de Californie, dans un communiqué. « La société n'a pas réussi à protéger les données des utilisateurs et à informer les autorités lorsqu'elles ont été exposées. », a-t-il ajouté.

La société de transport, qui veut retrouver la confiance des clients et chauffeurs et refaire son image, collabore pleinement à l’enquête. Elle avait décidé de verser 148 millions de dollars dont le règlement sera réparti entre les 50 États et le district de Columbia. Selon Tony West, le directeur juridique d'Uber, la société avait récemment engagé un responsable de la protection de la vie privée et un responsable de la confiance et de la sécurité. « Nous savons que gagner la confiance de nos clients et des régulateurs avec lesquels nous travaillons à l’échelle mondiale n’est pas une mince affaire. Après tout, la confiance est difficile à gagner et facile à perdre », avait déclaré M. West.

« Il s’agit non seulement d’une grave défaillance en matière de protection des données de la part d’Uber mais également d’un mépris total pour les clients et les chauffeurs dont les données personnelles avaient été volées », déclare Steve Eckersley, directeur des enquêtes au sein de l’ICO, cité dans un communiqué. « A l’époque, aucune mesure n’avait été prise pour avertir la moindre personne concernée par les faits ni pour proposer de l’aide et du soutien », a-t-il ajouté. L’ICO a précisé que des données de près de 82 000 chauffeurs basés en Grande-Bretagne avaient été volées en octobre et en novembre 2016. Les autorités néerlandaises ont pour leur part fait état de 174 000 personnes affectées par l’incident. Dans un communiqué, Uber se dit « satisfait d’avoir fermé ce chapitre sur l’incident des données de 2016 ».

« Payer les attaquants et ensuite garder le silence à ce sujet par la suite n'était pas, à notre avis, une réponse appropriée à la cyberattaque », a déclaré Eckersley. La loi sur la protection des données (Data Protection Act, DPA) de 1998 ne comportait aucune obligation légale, mais tout a changé depuis l'entrée en vigueur du RGPD en mai dernier. Les entreprises disposent de 72 heures pour informer l’ICO ou disposer d’un motif valable pour ne pas le faire. Les deux amendes émises se sont donc limitées à celles autorisées par la loi de 1998 sur la protection des données. Si l'incident de sécurité s'était produit après l'entrée en vigueur du RGPD, les amendes auraient pu être beaucoup plus élevés.

Sources : DPA, ICO

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Uber : le piratage des données de 2016 aurait été commis par un hacker de 20 ans payé 100 000 $ sous forme de prime de bug bounty pour son silence

Uber a été victime d'un piratage massif en 2016 et a préféré payer 100 000 dollars aux hackers pour étouffer l'affaire

Uber versera 148 millions de dollars pour régler une enquête pour violation de données, pour avoir dissimulé l'accès non autorisé au public

[Michael Guilloux]

La CNIL inflige une amende de 400 000 euros à Uber
pour le piratage dont la société a été victime en 2016

L'année passée, Uber a révélé que 57 millions de ses comptes ont été touchés par un piratage dont l'entreprise a été victime en 2016. Précisons qu'Uber avait préféré payer 100 000 dollars aux hackers pour étouffer l'affaire. Et après avoir caché cet épisode pendant un an, au moment de le révéler enfin, l’entreprise n’avait pas donné les détails sur cette violation en fonction des pays touchés. Une situation qui a poussé Mounir Mahjoubi, le secrétaire d’État chargé du Numérique, à écrire à Dara Khosrowshahi, le patron d’Uber, pour demander des explications sur ce piratage. Dans une action plus large, les gendarmes européens de la vie privée, y compris la CNIL, ont formé un groupe de travail pour enquêter sur la violation et déterminer les éventuels manquements de la société de VTC, et voir dans quelle ampleur leurs citoyens ont été touchés.

Un an plus tard, les sanctions contre Uber commencent à tomber. Fin novembre, l'autorité britannique de la protection des données a condamné Uber à une amende de 385 000 £, soit environ 434 000 € pour n'avoir pas assez protégé les informations personnelles de ses clients lors d'une cyberattaque. Au même moment, son homologue néerlandais a infligé également une amende de 600 000 € à Uber pour violation de la législation néerlandaise sur la protection des données. Au total, l'entreprise californienne a donc écopé d'une amende d'environ un million d'euros. Mais c'était avant que la France ne se prononce de son côté, ce qui vient d'être fait.

En effet, la Commission nationale informatique et libertés (CNIL) a annoncé jeudi avoir infligé une amende de 400 000 euros à Uber à la suite de ce piratage dont 1,4 million d’utilisateurs en France ont été victimes. Comme ses homologues, la CNIL juge que la société a « manqué à son obligation de sécurité des données personnelles ». À l’issue de ces investigations, « la CNIL a estimé que cette attaque n’aurait pu aboutir si certaines mesures élémentaires en matière de sécurité avaient été mises en place », a-t-elle ajouté, en rappelant que les Pays-Bas et la Grande-Bretagne avaient eux aussi déjà infligé à Uber des amendes de plusieurs centaines de milliers d’euros pour ce piratage informatique.

Précisons toutefois qu'aux États-Unis, c'est une amende bien plus lourde que devra payer la société de mise en relation de véhicules avec chauffeurs et de particuliers. Lorsque la violation de données a été rendue publique par le PDG d’Uber, cela a en effet suscité une enquête des procureurs généraux des États-Unis pour déterminer si les lois sur la notification des violations de données n’ont pas été transgressées par la société lorsqu'elle a choisi de ne pas informer les consommateurs que leurs informations avaient été compromises. « La décision d'Uber de dissimuler ce piratage était une violation flagrante de la confiance du public », a déclaré Xavier Becerra, procureur général de la Californie, dans un communiqué. « La société n'a pas réussi à protéger les données des utilisateurs et à informer les autorités lorsqu'elles ont été exposées », a-t-il ajouté.

La société de transport, qui veut retrouver la confiance des clients et chauffeurs et restaurer son image, collabore pleinement à l’enquête. Et fin septembre, le New York Times a rapporté que l'entreprise va verser 148 millions de dollars aux autorités US pour régler l'affaire. Les 148 millions de dollars qu'elle versera seront répartis entre les 50 États et le District de Columbia. La société a aussi engagé un responsable de la protection de la vie privée et un responsable de la confiance et la sécurité pour essayer de regagner la confiance des autorités et des utilisateurs.

Après ce dernier verdict, Uber s’est dit « heureux de clore ce chapitre » et a déclaré avoir renforcé la sécurité de ses systèmes depuis 2016. « Nous tirons les leçons de nos erreurs », a dit un porte-parole de la société.

Source : Reuters

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Les conducteurs d'entreprises de VTC ont vu leurs gains diminuer de moitié entre 2013 et 2018, idem pour les autres travailleurs de la gig economie
Uber aurait enregistré des pertes s'élevant à 4,5 milliards USD en 2017, la majeure partie de ses revenus servirait à payer ses chauffeurs
Un expert met en cause la technologie déployée par Uber dans l'accident mortel impliquant sa voiture autonome, et livre son analyse détaillée
Uber aurait perdu 891 millions USD au 2nd trimestre 2018, les investisseurs exhorteraient la société à vendre la division de voiture autonome
Uber ferme sa division dédiée aux camions autonomes, afin de recentrer ses efforts de conduite autonome sur les voitures uniquement

[Stéphane le calme]

Piratage d'Uber : la France demande des éclaircissements,
et rappelle à l'entreprise les sanctions qu'elle encourt dès l'application du RGPD

Uber a déclaré que 57 millions de ses comptes ont été touchés par un piratage dont elle a été la victime en 2016. Cependant, après avoir caché cet épisode pendant un an, l’entreprise n’a toujours pas donné de détails en fonction des pays touchés.

Une situation qui n’a pas été du goût de la France. Mounir Mahjoubi, le secrétaire d’État chargé du Numérique, a écrit à Dara Khosrowshahi, le patron d’Uber, pour demander des explications sur ce piratage.

« Face au danger que représente l’exploitation de ces données, je souhaite vous exprimer mon inquiétude quant à l'éventuelle présence en très grand nombre de clients et chauffeurs français dans cette liste.

« À ce jour et à notre connaissance, vous n’avez pas signalé cet incident auprès des autorités françaises et notamment auprès de la Commission nationale informatique et liberté ou de l’Agence nationale de sécurité des systèmes d’informations, ni auprès des utilisateurs concernés. Au regard du nombre de vos clients, vous avez une importance qui vous donne une responsabilité. L’entrée en vigueur du règlement général pour la protection des données est prévue pour mai 2018 et il établira des obligations de notification pour de pareils cas. Au regard du danger existant, nous souhaiterions que vous informiez volontairement les utilisateurs concernés ainsi que les autorités françaises.

« Pouvez-vous à ce jour nous indiquer si des utilisateurs français sont concernés et si oui combien, et de quels types sont les données qui ont été dérobées, quelles mesures techniques et organisationnelles sont mises en place pour informer et accompagner les utilisateurs ?

« Le signalement aux autorités et aux utilisateurs est le seul moyen de protéger les victimes et de limiter les conséquences de ces fuites. »

Selon Uber, les noms, adresses électroniques et numéros de téléphone des victimes ont été subtilisés. Le groupe américain de réservation de voitures avec chauffeur affirme qu'aucune information bancaire n'a été exfiltrée, pas plus que les dates de naissance et les historiques de trajets.

Ce qui n’arrange pas la situation c’est qu’Uber a d’abord informé une banque japonaise, Softbank, trois semaines avant de dévoiler le piratage à ses utilisateurs et aux autorités compétentes. Softbank est actuellement en discussion avec Uber pour investir dans l’entreprise. « Nous avons informé Softbank que nous enquêtions sur une fuite de données, en conformité avec notre devoir d’information envers un investisseur potentiel, même si l’information dont nous disposions à l’époque était préliminaire et incomplète », s’est justifié Uber dans un communiqué. « Nous avons également précisé qu’une enquête était en cours. Une fois que nous l’avons achevée, nous avons eu une compréhension plus complète des faits et nous avons alors informé les régulateurs et nos clients. »

La France n’est pas la seule à s’inquiéter et à demander des comptes à l’entreprise de transport. En effet, dans plusieurs pays, les autorités de protection des données personnelles ont annoncé l’ouverture d’enquêtes sur ce piratage et la façon dont Uber l’a gérée, comme au Royaume-Uni, en Australie ou encore aux Philippines. En Europe, le G29, qui rassemble les gendarmes européens de la vie privée et qui est actuellement présidé par la présidente de la CNIL française Isabelle Falque-Pierrotin, a prévu de se réunir cette semaine à ce sujet, afin d’envisager une coordination des enquêtes. Manque de transparence, obligations d’information et de sécurité non respectées, etc. Les régulateurs ont de quoi sanctionner.

Aux États unis, les procureurs de six États ont également commencé à se pencher sur la question, aux côtés de la Federal Trade Commission, l’autorité américaine chargée de la protection des consommateurs. Aux États-Unis comme dans un certain nombre d’autres pays, la loi impose aux entreprises victimes d’une fuite de données d’en informer les victimes potentielles.

Parallèlement, deux recours collectifs ont été lancés contre Uber aux États-Unis, lui reprochant de ne pas avoir révélé plus tôt le piratage, arguant que cela porte préjudice à ses clients.

Source : Le Monde, Reuters

[earhater]

Bon pour une fois on peut être d'accord avec notre gouvernement numérique. Cette histoire passée sous silence c'est quand même une sale histoire. Ils pourraient au moins donner les mot de passes piratés au service Have I been pwned ..

[Namica]

... Ils pourraient au moins donner les mot de passes piratés au service Have I been pwned ..

NON, NON et NON
On ne donne pas son mot de passe à ce site.
A la limite, si on lui fait confiance, on donne un identifiant ou une adresse email, mais PAS UN MOT DE PASSE. D'ailleurs le site ne fonctionne pas comme cela.

[Neckara]

On ne donne pas son mot de passe à ce site.
A la limite, si on lui fait confiance, on donne un identifiant ou une adresse email, mais PAS UN MOT DE PASSE. D'ailleurs le site ne fonctionne pas comme cela.

Par "donner les mots de passes piratés", je présume qu'il voulait dire "dire quels sont les comptes dont les mots de passes ont fuités".

C'est juste un abus de langage.

[Namica]

Par "donner les mots de passes piratés", je présume qu'il voulait dire "dire quels sont les comptes dont les mots de passes ont fuités".

C'est juste un abus de langage.

Pas d'accord non plus.
C'est le client qu'il faut informer et non communiquer à un tiers identifiant ou email sans le consentement du dit client.

[Neckara]

C'est le client qu'il faut informer et non communiquer à un tiers identifiant ou email sans le consentement du dit client.

Les identifiants et e-mails étant déjà dans la nature, je ne suis pas sûr qu'il y ai un problème à ce niveau.

D'autant plus que ce service a pour but de permettre aux clients de vérifier si les comptes associés à une de leur adresse e-mail ont pu faire l'objet d'une fuite. Mais peut-être serait-il plus sage d'inclure un tel dispositif dans les CGU du service que de le faire effectivement sans "accord" du client.

[Stéphane le calme]

Uber : les autorités européennes de protection des données annoncent avoir formé un groupe de travail,
pour se pencher sur le cas de la société de VTC

Uber a déclaré que 57 millions de ses comptes ont été touchés par un piratage dont elle a été la victime en 2016. Cependant, après avoir caché cet épisode pendant un an, l’entreprise n’a toujours pas donné de détails en fonction des pays touchés. Une situation qui n’a pas été du goût de la France. Mounir Mahjoubi, le secrétaire d’État chargé du Numérique, a écrit à Dara Khosrowshahi, le patron d’Uber, pour demander des explications sur ce piratage.

Mais, dans une plus grande mesure, le G29, qui rassemble les gendarmes européens de la vie privée et qui est actuellement présidé par la présidente de la CNIL française Isabelle Falque-Pierrotin, s’est réuni mercredi dernier à ce sujet, afin d’envisager une coordination des enquêtes. Manque de transparence, obligations d’information et de sécurité non respectées, etc. Les régulateurs ont de quoi sanctionner.

Ce jour-là, un groupe de travail a été créé pour se pencher sur le cas Uber : « Ce groupe de travail, dirigé par l'autorité néerlandaise de protection des données, sera composé à ce stade de représentants des autorités française, italienne, espagnole, belge et allemande et coordonnera les enquêtes nationales sur cette question importante », peut-on lire sur la page dédiée.

Bien entendu, le groupe de travail a reçu l’aval de la Commission. Lors d’une conférence de presse, la commissaire à la Justice Vera Jourova a fustigé l’irresponsabilité d’Uber. « Uber a attendu plus d'un an avant d'informer le public et ses consommateurs de cette faille » accuse-t-elle, avant de souligner que le RGPD permettra de mieux répondre à ce type de «comportement. »

Pour Giovanni Buttarelli, contrôleur européen de la protection des données, les législateurs de l'UE gagneraient à créer une nouvelle autorité centralisée pour la protection des données afin de superviser les enquêtes sur les atteintes à la vie privée qui affectent plus d'un État membre :

« Je pense qu'avec Uber, nous avons démontré immédiatement en tant qu'autorités de protection des données dans quelle mesure nous considérons qu'il est essentiel de coopérer. Nous avons établi un groupe de travail et nous synchronisons toutes nos actions. Donc, les enquêtes d'un point de vue formaliste vont être effectuées à l'échelle nationale, mais la substance de tout va maintenant être synchronisée. La même chose s'est produite avec la politique de confidentialité de Google et sur d'autres questions. Ici sur Uber, cela semble plus facile, car nous n'avons à ce stade que des questions de protection des données, de sécurité et de cybersécurité avec d'autres éléments – peut-être aussi du point de vue pénal, chantage et autre chose, qui devront être vérifiés. »

Source : Europa, entretien avec Giovanni Buttarelli

[Olivier Famien]

Le piratage des données de 57 millions de clients d’Uber aurait été commis par un hacker de 20 ans
payé 100 000 $ sous forme de prime de bug bounty pour garder le silence

Les jours se suivent et se ressemblent chez Uber. L’entreprise de mise en relation de véhicules avec chauffeurs et de particuliers connaît mois après mois de nombreux problèmes. Engagée dans plusieurs procès à travers le monde et en proie à plusieurs crises internes, l’entreprise pourrait voir son image être encore écornée à la suite de cette affaire de piratage de données parvenue à la connaissance du public.

En effet, vers la fin du mois de novembre, le PDG de l’entreprise de VTC, Dara Khosrowshahi, a rapporté que deux pirates informatiques ont volé les données personnelles de 57 millions de clients et de chauffeurs d’Uber Technologies Inc. Le fait le plus aggravant est que cette violation de données était connue de son chef de sécurité, Joe Sullivan, et de l’un de ses adjoints, Craig Clark, depuis 2016. Pour couvrir certaines actions, ces derniers ont passé sous silence ces faits et ont effectué un paiement de 100 000 dollars aux pirates informatiques en leur demandant de supprimer les données en leur possession.

Après avoir récemment appris l’accès non autorisé aux données de l’entreprise stockées sur la plateforme cloud d’Amazon ainsi que la dissimulation de cet incident par certains responsables de la sécurité informatique de l’entreprise, le PDG d’Uber a effectué un communiqué pour rassurer les chauffeurs et utilisateurs que des actions ont été prises depuis lors pour sécuriser les données et mettre fin à l’accès non autorisé. En outre, les deux responsables de sécurité qui se sont montrés fautifs en en étouffant l’affaire du piratage ont été limogés, car selon le directeur général d’Uber, l’incident aurait dû être révélé aux régulateurs au moment de sa découverte.

Mais loin d’être satisfaits par les actions correctives de l’entreprise, de nombreux médias y compris Reuters ont mené leurs enquêtes afin de faire la lumière sur cet incident. Après avoir creusé sur cette affaire, Reuters rapporte qu’un des deux pirates informatiques impliqués dans le vol des données serait un homme âgé de 20 ans qui a reçu le montant indiqué (100 000 dollars) sous forme de récompense donnée à travers le programme de bug bounty organisé par l’entreprise. Une source de Reuters décrit le hacker comme « vivant avec sa mère dans une petite maison en essayant d’aider à payer les factures ». Reuters ajoute que les membres de l’équipe de sécurité d’Uber ne voulaient pas poursuivre une personne qui semblait ne pas constituer une menace véritable.

En s’appuyant sur deux de ses sources, Reuters rapporte qu’Uber a fait le paiement pour confirmer l’identité du hacker et lui faire signer un accord de non-divulgation pour dissuader d’autres actes répréhensibles. Uber a également effectué une analyse de la machine du pirate informatique pour s’assurer que les données avaient été purgées, selon les sources.

En principe, les programmes de bug bounty sont organisés pour motiver les experts en sécurité et autres chercheurs à dénicher de nouvelles failles qui pourraient être exploitées par des acteurs malveillants afin de mettre à mal les affaires d’une entreprise. Selon un ancien dirigeant de HackerOne, qui héberge le service de bug bounty d’Uber, les primes de récompense pour la découverte de failles se situent en général entre 5000 et 10 000 dollars. Un paiement de 100 000 dollars par un programme de primes de bogue serait extrêmement inhabituel et représenterait un « record absolu » dans le domaine des découvertes de failles. Cet avis est également partagé par Katie Moussouris, ancien cadre de HackerOne, qui estime que le versement de 100 000 $ d’Uber et le silence à ce moment-là étaient extraordinaires dans le cadre d’un tel programme. « Si cela avait été un bogue légitime, il aurait été idéal pour tous les participants de le crier sur les toits », a déclaré Moussouris. Le fait qu’Uber n’ait pas signalé la violation aux régulateurs, même si elle avait peut-être l’impression d’avoir réglé le problème, était une erreur, selon des personnes à l’intérieur et à l’extérieur de l’entreprise qui ont échangé avec Reuters.

Le hacker qui vivrait en Floride aurait payé une deuxième personne pour les services qui impliquaient l’accès à la plateforme d’hébergement de code GitHub afin d’obtenir des informations d’accès aux données Uber stockées ailleurs, a indiqué l’une des sources de Reuters. Mais du côté de GitHub, les responsables de la plateforme ont indiqué que l’attaque n’impliquait pas une défaillance de ses systèmes de sécurité.

Une dernière chose à noter dans cet incident, c’est qu’en général le décaissement de 100 000 dollars dans une entreprise sérieuse ne peut se faire sans l’accord préalable d’un certain nombre de hauts dirigeants. Reuters rapporte que selon certaines sources non divulguées, le PDG d’alors, Travis Kalanick, aurait été informé de la violation et du paiement effectué aux pirates. Kalanick, qui a démissionné en tant que PDG d’Uber en juin, a refusé de commenter l’affaire, rapporte Reuters.

Source : Reuters

Et vous ?

Comment jugez-vous le règlement de cet incident par Uber ?

Quelle est votre perception d’Uber après ce énième incident rapporté ?

Voir aussi

Uber licencie plus de vingt employés à la suite d'une enquête de harcèlement sexuel et envisage une refonte de son image et de son organisation
Waymo vs Uber : le juge choqué aurait accusé Uber de dissimuler des preuves après avoir appris que l'entreprise aurait acheté le silence d'un employé

[Stan Adkens]

Uber versera 148 millions de dollars pour régler une enquête pour violation de données
Pour avoir dissimulé l'accès non autorisé au public

Pour régler une enquête nationale sur une violation de données impliquant Uber et ayant permis à un pirate informatique d’accéder à des informations de 57 millions de clients et chauffeurs, l’entreprise de mise en relation de véhicules avec chauffeurs et de particuliers devra verser 148 millions de dollars. C’est ce qu’a rapporté le journal The New York Times, le mercredi dernier.

En effet, vers la fin du mois de novembre, le PDG de l’entreprise de VTC, Dara Khosrowshahi, a publié l’information selon laquelle deux pirates informatiques ont volé les données personnelles de 57 millions de clients et de chauffeurs d’Uber Technologies Inc. Le fait le plus aggravant est que cette violation de données était connue de son chef de sécurité, Joe Sullivan, et de l’un de ses adjoints, Craig Clark, depuis 2016. Pour couvrir certaines actions, ces derniers ont passé sous silence ces faits et ont effectué un paiement de 100 000 dollars aux pirates informatiques sous forme de prime bogue pour leur silence.

Après avoir appris cet accès non autorisé aux données ainsi que l’acte de dissimulation de l’incident par certains responsables chargés de la sécurité informatique de l’entreprise, le PDG d’Uber a fait un communiqué pour rassurer les chauffeurs et utilisateurs que des actions ont été entreprises depuis lors pour sécuriser les données et mettre fin à l’accès non autorisé. Par ailleurs, les responsables informatiques fautifs avaient été limogés, car l’information de l’accès non autorisé aurait dû être révélée non seulement aux régulateurs, mais également aux utilisateurs au moment de sa découverte.

L’information rendue publique par le PDG d’Uber a suscité une enquête des procureurs généraux des États-Unis pour déterminer si les lois sur la notification de violation de données n’ont pas été transgressées par la société lorsqu'elle a choisi de supprimer les données piratées de ses clients et chauffeurs et de ne pas informer les consommateurs que leurs informations avaient été compromises. Les données compromises comprenaient des noms et des numéros de permis de conduire de 600 000 conducteurs.

« La décision d'Uber de dissimuler cette violation était une violation flagrante de la confiance du public », a déclaré Xavier Becerra, procureur général de Californie, dans un communiqué. « La société n'a pas réussi à protéger les données des utilisateurs et à informer les autorités lorsqu'elles ont été exposées. », a-t-il ajouté.

La société de transport, qui veut retrouver la confiance des clients et chauffeurs et refaire son image, collabore pleinement à l’enquête. Elle versera 148 millions de dollars dont le règlement sera réparti entre les 50 États et le district de Columbia. Selon Tony West, le directeur juridique d'Uber, la société avait récemment engagé un responsable de la protection de la vie privée et un responsable de la confiance et de la sécurité. « Nous savons que gagner la confiance de nos clients et des régulateurs avec lesquels nous travaillons à l’échelle mondiale n’est pas une mince affaire. Après tout, la confiance est difficile à gagner et facile à perdre », a déclaré M. West.

En avril dernier, la Federal Trade Commission (FTC) a mené également une enquête qu’elle a focalisée sur la violation de données. La commission soumet également uber à des audits de confidentialité réguliers.

Par ce règlement, les procureurs généraux des États-Unis veulent interpeler tous les entreprises qui conservent les données utilisateur sur leurs responsabilités. « Les entreprises en Californie et dans tout le pays se voient confier des informations privées précieuses », a déclaré M. Becerra. « Ce règlement est diffusé à tous afin que nous les tenions responsables de la protection de ces données. »

Source : The New York Times

Et vous ?

Que pensez-vous du dénouement de cette affaire ?
Pensez-vous qu’il pourra servir de leçon aux entreprises qui s’adonnent à ces genres de pratiques ?

Voir aussi

Les conducteurs d'entreprises de VTC ont vu leurs gains diminuer de moitié entre 2013 et 2018, idem pour les autres travailleurs de la gig economie
Uber aurait enregistré des pertes s'élevant à 4,5 milliards USD en 2017, la majeure partie de ses revenus servirait à payer ses chauffeurs
Un expert met en cause la technologie déployée par Uber dans l'accident mortel impliquant sa voiture autonome, et livre son analyse détaillée
Uber aurait perdu 891 millions USD au 2nd trimestre 2018, les investisseurs exhorteraient la société à vendre la division de voiture autonome
Uber ferme sa division dédiée aux camions autonomes, afin de recentrer ses efforts de conduite autonome sur les voitures uniquement

[Superzest 76]

Pour 1,2 million de compte français piraté Uber doit déboursé la somme ridicule de 400 000 €.
Soit la somme incroyable de 0.33C l'utilisateur.
En sachant que

« la CNIL a estimé que cette attaque n’aurait pu aboutir si certaines mesures élémentaires en matière de sécurité avaient été mises en place »

je sais pas un tarif par utilisateur plus élevé aurais peut être enfin fait un exemple pour les autres grandes boites à mieux protéger les données utilisateur...

[Invité]

Bien fait pour leur tronches. Bon la fuite a eu lieu avant le 25 mai 2018. Donc normal que celle ci soit ridicule. Attendez encore un peu les cas après le 25 mai vont flamber.

Quoi que une amende avec 3 zéro de plus ne ferait pas de mal .

[Eric80]

Les agences européennes font vraiment petit bras face aux américaines!

On a donc 0.4+0.6+0.4 < 1.5 millions d' € pour UK+NL+FR, soit < 140 millions d habitants.

vs 148 millions de USD, soit 130 millions d'€ aux USA pour 350 millions d habitants.

rapport population 350/140 = 2.5

ou pour la France, 350/65 = 5.8 ; 130/5.8 = 24.

Si la Cnil avait un cadre juridique comme aux USA, c est donc 24 millions d'€ qu'elle aurait du réclamer!