Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Uber a été victime d'un piratage massif en 2016 et a préféré payer 100 000 dollars aux hackers
Pour étouffer l'affaire

Le , par Stéphane le calme

104PARTAGES

12  0 
Des pirates informatiques ont volé les données personnelles de 57 millions de clients et de chauffeurs à Uber Technologies Inc., une violation massive que l'entreprise a dissimulée pendant plus d'un an. Cette semaine, la firme de transport a renvoyé son chef de la sécurité et l'un de ses adjoints pour leur rôle pour cacher cette violation, qui comprenait un paiement de 100 000 $ aux assaillants.

C’est ce qu’a révélé Dara Khosrowshahi, PDG de l’entreprise de VTC :

« En tant que PDG d'Uber, mon travail consiste à définir notre orientation pour l'avenir, qui commence par la création d'une entreprise dont chaque employé, partenaire et client Uber peut être fier. Pour que cela se produise, nous devons être honnêtes et transparents alors que nous travaillons à réparer nos erreurs passées.

« J'ai appris récemment qu'à la fin de l'année 2016, nous avons eu connaissance du fait que deux personnes extérieures à l'entreprise avaient accédé de manière inappropriée aux données d'utilisateurs stockées sur un service de cloud tiers que nous utilisons. L'incident ne concerne pas une violation de nos systèmes ou de notre infrastructure d'entreprise.

« Nos experts n'ont pas vu d'indication que l'historique du lieu de voyage, les numéros de carte de crédit, les numéros de compte bancaire, les numéros de sécurité sociale ou les dates de naissance ont été téléchargés. Cependant, les personnes ont pu télécharger des fichiers contenant une quantité importante d'autres informations, notamment :
les noms et numéros de permis de conduire d'environ 600 000 conducteurs aux États-Unis ;
certaines informations personnelles de 57 millions d'utilisateurs Uber à travers le monde, y compris les conducteurs décrits ci-dessus. Ces informations comprennent les noms, les adresses électroniques et les numéros de téléphone mobile. »

Le PDG a assuré qu’au moment de l'incident, Uber a pris des mesures immédiates pour sécuriser les données et mettre fin à l'accès non autorisé par les individus. Elle a ensuite identifié les individus et obtenu l'assurance que les données téléchargées avaient été détruites. Puis elle a mis en place des mesures de sécurité pour restreindre l'accès aux contrôles sur ses comptes de stockage basés sur le cloud et les renforcer.


Les auteurs ont donc été rapidement identifiés, mais Uber a choisi d’étouffer l’affaire en payant une rançon de 100 000 dollars pour obtenir le silence des auteurs. Il faut préciser qu’à l’époque de l’incident, Uber était en pleine discussion avec la Federal Trade Commission au sujet de sa gestion des données utilisateurs. Uber a déclaré qu'il croit que l'information n'a jamais été utilisée, mais a refusé de divulguer l'identité des agresseurs.

« Bien que je ne puisse pas effacer le passé, je peux m'engager au nom de tous les employés d'Uber que nous allons apprendre de nos erreurs. Nous changeons notre façon de faire des affaires, plaçant l'intégrité au cœur de chaque décision que nous prenons et travaillant dur pour gagner la confiance de nos clients », a déclaré le PDG de l’entreprise.

Après la révélation d'Uber mardi, le procureur général de New York Eric Schneiderman a lancé une enquête sur le piratage, a déclaré sa porte-parole, Amy Spitalnick. La société a également été poursuivie pour négligence à l'égard de la violation par un client à la recherche d'un statut de recours collectif.

Suite à cette information, Christophe Badot, Directeur France de Varonis, a déclaré : « On constate une fois encore que les pénalités dérisoires n'incitent pas suffisamment les entreprises à protéger leurs données. Lorsque le RGPD (Règlement Général sur la Protection des Données) entrera en vigueur en mai prochain, les entreprises qui manipuleront les données des citoyens de l'UE seront confrontées à des sanctions beaucoup plus sévères et à l’obligation de respecter une période de divulgation de 72 heures après la découverte d’une violation de données. Pour mettre les choses en perspective : dans le cadre GDPR, Uber pourrait être condamné à une amende pouvant atteindre 260 000 000 $ pour cette infraction (4 % de son chiffre d'affaires de 6,5 milliards de dollars en 2016). Lors du précédent piratage survenu en 2014, Uber avait été condamné à une amende de 20 000 $ seulement par l'État de New York, loin d’être dissuasif pour une entreprise qui gagne des milliards de dollars. »

De son côté, Jérôme Segura, Lead Malware Intelligence Analyst chez Malwarebytes, a affirmé que « Ce que nous savons jusqu'à présent, c'est que les pirates ont réussi à accéder à des comptes GitHub privés contenant les identifiants et les mots de passe de certains développeurs d’Uber. Grâce à ces informations, ils ont pu se connecter aux serveurs d’Amazon (utilisés par Uber), y télécharger des millions d'enregistrements. Ils ont ensuite pu se retourner vers Uber pour les faire chanter.

« Ce qui est troublant est que ce piratage se soit produit il y a déjà un an et ne soit annoncé qu’aujourd’hui. Cela viole très probablement de nombreuses lois sur la notification des violations de données. Les motivations ayant décidé Uber à payer les pirates ne sont pas encore claires. S’agissait-il de couvrir la brèche, de protéger leurs utilisateurs, les deux ? La quantité et le type de données dont on parle ici pourraient atteindre un prix très élevé au marché noir.

« Cette attitude soulève également la question de la confiance d’Uber en ce qui concerne le paiement de la rançon et l'obtention de garanties quant à la suppression des données volées. Quoi qu'il en soit, techniquement il ne s'agit pas d'une nouvelle brèche, mais d’une situation plus complexe pour laquelle le gouvernement et les institutions juridiques vont exiger des réponses. »

Source : Uber

Mise à jour du 23/11/2017 : Une campagne de phishing s'appuie sur la mauvaise communication d'Uber

Des cyber escrocs ont eu l’idée de profiter de l’occasion pour lancer une campagne de phishing. Pour cela, ils ont rédigé un courriel d’excuse à l’attention des clients et chauffeurs Uber. C'est le chercheur en sécurité Dale Meredith qui en a parlé dans un Tweet et qui suggère de prévenir des personnes qui pourraient se faire avoir.

« Nos plus sincères excuses, vous avez peut-être entendu parler du fait qu’Uber a été compromis l'année dernière. Nous sommes désolés de vous informer que vos informations ont, malheureusement, été confirmées comme faisant partie de celles qui ont été dérobées. Veuillez cliquer ci-dessous pour confirmer que vous avez reçu ce message et modifier votre mot de passe. »

Le courriel de phishing donne même des conseils de sécurité, vraisemblablement dans une tentative de paraître authentique : « Par mesure de sécurité, vous voudrez changer vos mots de passe sur tous les autres comptes en ligne que vous utilisez, pour éviter d'autres dommages. »


Source : Twitter Dale Meredith

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Namica
Membre expérimenté https://www.developpez.com
Le 28/11/2017 à 16:05
Citation Envoyé par ilapasle25 Voir le message
... cacher cela à permis de mieux protéger les clients, ...
Ca c'est complètement idiot. Pendant tout ce temps là, les dits clients n'ont donc pas été avertis de changer leur mot de passe.
Comment ce silence a-t-il pu mieux les protéger ? J'attends une démonstration de cette soit-disant meilleure protection.
7  0 
Avatar de Namica
Membre expérimenté https://www.developpez.com
Le 28/11/2017 à 15:44
Citation Envoyé par ilapasle25 Voir le message
... il est parfaitement normal d'essayer de masquer cela. ...
Non. Prévenir les clients d'un piratage est la moindre des choses et VA DEVENIR UNE OBLIGATION LÉGALE, sous peine de sanctions.
La transparence est toujours une meilleure stratégie que la dissimulation en cas de problèmes.
6  1 
Avatar de skuatamad
Expert confirmé https://www.developpez.com
Le 22/11/2017 à 14:54
Citation Envoyé par Stéphane le calme Voir le message
Uber avait été condamnée à une amende de 20 000 $ seulement par l'État de New York, loin d’être dissuasif pour une entreprise qui gagne perd des milliards de dollars.
Fixed
4  0 
Avatar de Namica
Membre expérimenté https://www.developpez.com
Le 28/11/2017 à 15:21
Citation Envoyé par ilapasle25 Voir le message
Je trouve honteux que les médias s'acharne sur 1 entrperise en particluier alors que les vraix coupable eux n'ont rien.
C'est pas uber qu'il faut blamer qui n'a fait que résister aux pressions de ces pirates, que dije ces chanteurs, escroc (les mots m'en tombent de colère)

Uber a bien agit dans l'ensemble, ce qu'il faut a présent c'est mener une enquete et trouver ces pirates et les sanctionner en conséquence.
Cacher l'information pendant un tel laps de temps ?
Moi, je n’appelle pas cela "bien agir dans l'ensemble".
Et puis si tu as bien lu la news, Uber connait l'identité des agresseurs et les a payés pour qu'ils se taisent !
5  1 
Avatar de Namica
Membre expérimenté https://www.developpez.com
Le 28/11/2017 à 4:55
Citation Envoyé par earhater Voir le message
... Ils pourraient au moins donner les mot de passes piratés au service Have I been pwned ..
NON, NON et NON
On ne donne pas son mot de passe à ce site.
A la limite, si on lui fait confiance, on donne un identifiant ou une adresse email, mais PAS UN MOT DE PASSE. D'ailleurs le site ne fonctionne pas comme cela.
2  0 
Avatar de Superzest 76
Membre actif https://www.developpez.com
Le 20/12/2018 à 15:45
Pour 1,2 million de compte français piraté Uber doit déboursé la somme ridicule de 400 000 €.
Soit la somme incroyable de 0.33C l'utilisateur.
En sachant que
« la CNIL a estimé que cette attaque n’aurait pu aboutir si certaines mesures élémentaires en matière de sécurité avaient été mises en place »
je sais pas un tarif par utilisateur plus élevé aurais peut être enfin fait un exemple pour les autres grandes boites à mieux protéger les données utilisateur...
2  0 
Avatar de Neckara
Expert éminent sénior https://www.developpez.com
Le 28/11/2017 à 9:00
Citation Envoyé par Namica Voir le message
On ne donne pas son mot de passe à ce site.
A la limite, si on lui fait confiance, on donne un identifiant ou une adresse email, mais PAS UN MOT DE PASSE. D'ailleurs le site ne fonctionne pas comme cela.
Par "donner les mots de passes piratés", je présume qu'il voulait dire "dire quels sont les comptes dont les mots de passes ont fuités".

C'est juste un abus de langage.
1  0 
Avatar de Namica
Membre expérimenté https://www.developpez.com
Le 02/12/2017 à 7:00
Plus facile dans le cas Uber ?
Hummm...
L'europe impose des contraintes de protection de la vie privé au travers de directives : tout à fait d'accord.
Ensuite les différents pays de l'union doivent mettre cela en œuvre dans leur législations respectives avec la création des organes ad-hoc (CNIL, ...)
Ben oui, mais : les GAFAM (plus UBER) eux, sont internationaux.
  • Et chaque organe de contrôle d'un pays de l'union devrait à son niveau effectuer le contrôle et le cas échéant prononcer une sanction !!!
  • Et gérer dans chaque pays de l'union les recours et frais de justice ?
  • Avec les risques de jurisprudence différentes ?
  • Et le problème des lobbyistes GAFAM dans chaque membre de l'U.E. ?

NON
Au regard du pouvoir international des GAFAM, il ne sert à rien de disperser les efforts de protection de la vie privée dans diverses législations et organes nationaux devant de toute manière répondre à la même directive européenne. C'est une perte d'énergie et un coût.

Le groupe 29 l'a bien compris en se coordonnant pour ce problème.
Cependant, il est temps que cela soit centralisé au niveau de l'union. ce serait plus efficace.

Maintenant, faut-il laisser ce pouvoir dans le bras exécutif de l'union ?
J'en suis moins sur (et même pas du tout).
Dans le pouvoir judiciaire, oui, mais comment ?

Qu'en pensez-vous ?
1  0 
Avatar de koyosama
Membre éprouvé https://www.developpez.com
Le 22/11/2017 à 15:51
Citation Envoyé par Stéphane le calme Voir le message

De son côté, Jérôme Segura, Lead Malware Intelligence Analyst chez Malwarebytes, a affirmé que « Ce que nous savons jusqu'à présent, c'est que les pirates ont réussi à accéder à des comptes GitHub privés contenant les identifiants et les mots de passe de certains développeurs d’Uber. Grâce à ces informations, ils ont pu se connecter aux serveurs d’Amazon (utilisés par Uber), y télécharger des millions d'enregistrements. Ils ont ensuite pu se retourner vers Uber pour les faire chanter.
C'est ça un développeur Uber ...
Mouais après le meetup que j'ai fait hier (la phrase: "On verra plus tard les bonnes pratiques ...", cela me hante toujours ), j'ai mauvaise image de la sécurité informatique en Amérique du nord maintenant.

C'est si dur que ça d'utiliser git correctment ??? Et je suis sûr que ce sont encore les gars payé 100k. En plus, ils ont pas d'excuses, les bonnes pratiques sont les codes reviews, les pair programming et le fameux pull request de github.
Rien à foutre que ce soit privé.
0  0 
Avatar de gagouze2
Membre du Club https://www.developpez.com
Le 23/11/2017 à 11:06
encore une communication à la yahoo !!!!
Bravo les mec
0  0