Uber a admis avoir dissimulé une attaque de cybersécurité massive qui a eu lieu en octobre 2016, exposant les données confidentielles de 57 millions de clients et de chauffeurs, dans le cadre d’un accord avec le ministère américain de la Justice pour éviter des poursuites pénales.
Afin de ne pas être poursuivi pour la dissimulation, Uber « admet que son personnel n’a pas signalé la violation de données de novembre 2016 à la [Federal Trade Commission] malgré une enquête en cours de la FTC sur la sécurité des données dans l’entreprise », selon un communiqué de presse du DOJ.
Les pirates ont utilisé des informations d’identification volées pour accéder à un référentiel de code source privé et obtenir une clé d’accès propriétaire, qu’ils ont ensuite utilisée pour accéder et copier de grandes quantités de données associées aux utilisateurs et aux conducteurs d’Uber, y compris des données relatives à environ 57 millions d’enregistrements d’utilisateurs avec 600 000 permis de conduire. Nombres.
La violation de données n’a été révélée qu’un an plus tard dans un reportage à succès par Bloomberg. La société aurait payé à ses pirates une rançon de 100 000 $ pour supprimer les données et ne pas rendre publique la violation aux médias ou aux régulateurs. À l’époque, le nouveau PDG d’Uber, Dara Khosrowshahi, qui avait succédé à l’ancien PDG Travis Kalanick après que ce dernier a été évincé de son poste, a admis que la dissimulation n’aurait pas dû avoir lieu.
Selon le règlement, Khosrowshahi et son équipe ont signalé la violation au public, aux conducteurs et aux autorités gouvernementales après l’avoir découverte un an plus tard. La décision de ne pas poursuivre l’entreprise était, en partie, basée sur la décision d’Uber de divulguer la violation ainsi que sur un accord avec la FTC en 2018 pour signaler toute future cyberattaque aux régulateurs gouvernementaux. Le règlement reconnaît également qu’Uber a payé 148 millions de dollars pour régler le litige civil lié à la violation de données.
Ce fut un revirement brutal par rapport à la direction de l’entreprise sous Kalanick, qui a appris la violation un mois après qu’elle se soit produite. Joe Sullivan, le chef de la sécurité d’Uber à l’époque, était également complice de la dissimulation, ce qui a conduit à son licenciement par Khosrowshahi en 2017. Sullivan a ensuite été accusé d’entrave à la justice pour avoir tenté de cacher une violation de données à la FTC et à la direction d’Uber. Son affaire est prévue pour passer en jugement en septembre 2022.
Le piratage comprenait les noms, adresses e-mail et numéros de téléphone de plus de 50 millions de conducteurs Uber dans le monde, tandis que plus de 7 millions de conducteurs Uber avaient des données similaires exposées en plus des numéros de permis de conduire d’environ 600 000 conducteurs américains.