Une campagne de phishing s'appuie sur la mauvaise communication d'Uber

Sur le vol de données dont l'entreprise a été victime en 2016

Des pirates informatiques ont volé les données personnelles de 57 millions de clients et de chauffeurs à Uber Technologies Inc., une violation massive que l'entreprise a dissimulée pendant plus d'un an. Cette semaine, la firme de transport a renvoyé son chef de la sécurité et l'un de ses adjoints pour leur rôle pour cacher cette violation, qui comprenait un paiement de 100 000 $ aux assaillants.

C’est ce qu’a révélé Dara Khosrowshahi, PDG de l’entreprise de VTC :

« En tant que PDG d'Uber, mon travail consiste à définir notre orientation pour l'avenir, qui commence par la création d'une entreprise dont chaque employé, partenaire et client Uber peut être fier. Pour que cela se produise, nous devons être honnêtes et transparents alors que nous travaillons à réparer nos erreurs passées.

« J'ai appris récemment qu'à la fin de l'année 2016, nous avons eu connaissance du fait que deux personnes extérieures à l'entreprise avaient accédé de manière inappropriée aux données d'utilisateurs stockées sur un service de cloud tiers que nous utilisons. L'incident ne concerne pas une violation de nos systèmes ou de notre infrastructure d'entreprise.

« Nos experts n'ont pas vu d'indication que l'historique du lieu de voyage, les numéros de carte de crédit, les numéros de compte bancaire, les numéros de sécurité sociale ou les dates de naissance ont été téléchargés. Cependant, les personnes ont pu télécharger des fichiers contenant une quantité importante d'autres informations, notamment :
les noms et numéros de permis de conduire d'environ 600 000 conducteurs aux États-Unis ;
certaines informations personnelles de 57 millions d'utilisateurs Uber à travers le monde, y compris les conducteurs décrits ci-dessus. Ces informations comprennent les noms, les adresses électroniques et les numéros de téléphone mobile. »

Le PDG a assuré qu’au moment de l'incident, Uber a pris des mesures immédiates pour sécuriser les données et mettre fin à l'accès non autorisé par les individus. Elle a ensuite identifié les individus et obtenu l'assurance que les données téléchargées avaient été détruites. Puis elle a mis en place des mesures de sécurité pour restreindre l'accès aux contrôles sur ses comptes de stockage basés sur le cloud et les renforcer.


Les auteurs ont donc été rapidement identifiés, mais Uber a choisi d’étouffer l’affaire en payant une rançon de 100 000 dollars pour obtenir le silence des auteurs. Il faut préciser qu’à l’époque de l’incident, Uber était en pleine discussion avec la Federal Trade Commission au sujet de sa gestion des données utilisateurs. Uber a déclaré qu'il croit que l'information n'a jamais été utilisée, mais a refusé de divulguer l'identité des agresseurs.

« Bien que je ne puisse pas effacer le passé, je peux m'engager au nom de tous les employés d'Uber que nous allons apprendre de nos erreurs. Nous changeons notre façon de faire des affaires, plaçant l'intégrité au cœur de chaque décision que nous prenons et travaillant dur pour gagner la confiance de nos clients », a déclaré le PDG de l’entreprise.

Après la révélation d'Uber mardi, le procureur général de New York Eric Schneiderman a lancé une enquête sur le piratage, a déclaré sa porte-parole, Amy Spitalnick. La société a également été poursuivie pour négligence à l'égard de la violation par un client à la recherche d'un statut de recours collectif.

Suite à cette information, Christophe Badot, Directeur France de Varonis, a déclaré : « On constate une fois encore que les pénalités dérisoires n'incitent pas suffisamment les entreprises à protéger leurs données. Lorsque le RGPD (Règlement Général sur la Protection des Données) entrera en vigueur en mai prochain, les entreprises qui manipuleront les données des citoyens de l'UE seront confrontées à des sanctions beaucoup plus sévères et à l’obligation de respecter une période de divulgation de 72 heures après la découverte d’une violation de données. Pour mettre les choses en perspective : dans le cadre GDPR, Uber pourrait être condamné à une amende pouvant atteindre 260 000 000 $ pour cette infraction (4 % de son chiffre d'affaires de 6,5 milliards de dollars en 2016). Lors du précédent piratage survenu en 2014, Uber avait été condamné à une amende de 20 000 $ seulement par l'État de New York, loin d’être dissuasif pour une entreprise qui gagne des milliards de dollars. »

De son côté, Jérôme Segura, Lead Malware Intelligence Analyst chez Malwarebytes, a affirmé que « Ce que nous savons jusqu'à présent, c'est que les pirates ont réussi à accéder à des comptes GitHub privés contenant les identifiants et les mots de passe de certains développeurs d’Uber. Grâce à ces informations, ils ont pu se connecter aux serveurs d’Amazon (utilisés par Uber), y télécharger des millions d'enregistrements. Ils ont ensuite pu se retourner vers Uber pour les faire chanter.

« Ce qui est troublant est que ce piratage se soit produit il y a déjà un an et ne soit annoncé qu’aujourd’hui. Cela viole très probablement de nombreuses lois sur la notification des violations de données. Les motivations ayant décidé Uber à payer les pirates ne sont pas encore claires. S’agissait-il de couvrir la brèche, de protéger leurs utilisateurs, les deux ? La quantité et le type de données dont on parle ici pourraient atteindre un prix très élevé au marché noir.

« Cette attitude soulève également la question de la confiance d’Uber en ce qui concerne le paiement de la rançon et l'obtention de garanties quant à la suppression des données volées. Quoi qu'il en soit, techniquement il ne s'agit pas d'une nouvelle brèche, mais d’une situation plus complexe pour laquelle le gouvernement et les institutions juridiques vont exiger des réponses. »

Source : Uber