Uber a admis avoir dissimulé une importante violation de données en 2016 qui a entraîné la fuite de données d’utilisateurs en ligne.
Le ministère américain de la Justice (DoJ) a déclaré dans un communiqué de presse que la compagnie de taxis « admet que son personnel n’a pas signalé la violation de données de novembre 2016 à la Federal Trade Commission malgré une enquête en cours de la FTC sur la sécurité des données de l’entreprise ».
Les aveux d’Uber sont intervenus dans le cadre d’un règlement qui lui permettra d’éviter les poursuites pénales du DoJ.
Corruption
Le piratage, qui s’est produit en octobre 2016, a commencé par le vol d’informations d’identification dans un référentiel de code source privé et s’est terminé par le vol de données sensibles sur 57 millions de personnes, y compris des clients Uber et des chauffeurs.
Les données volées comprenaient des noms complets, des adresses e-mail et des numéros de téléphone, ainsi que des numéros de permis de conduire, que les cybercriminels peuvent utiliser pour se livrer à un vol d’identité, par exemple.
Même si le piratage a eu lieu en 2016, il n’a été révélé qu’un an plus tard. Apparemment, le PDG de l’entreprise à l’époque, Travis Kalanick, et le directeur de la sécurité (CSO), Joe Sullivan, étaient au courant de la violation et ont tenté de la dissimuler, payant aux pirates 100 000 $ pour supprimer les données et ne plus jamais en parler. .
Kalanick a ensuite été évincé de son poste et remplacé par Dara Khosrowshahi qui, après avoir appris ce qui s’était passé, a renvoyé Sullivan et a tout signalé aux autorités.
Sullivan a également été accusé plus tard d’entrave à la justice, pour avoir tenté de cacher la violation à la fois à la FTC et à la direction d’Uber, son procès devant commencer dans environ un mois.
Une autre raison pour laquelle le DoJ a décidé de ne pas engager de poursuites pénales contre Uber était en raison d’un accord conclu par l’entreprise avec la FTC en 2018, pour signaler toute future cyberattaque au gouvernement. Uber avait également payé 148 millions de dollars pour régler un litige civil lié à la violation de données.
Via : The Verge (s’ouvre dans un nouvel onglet)