Le procureur général de New York, Eric Schneiderman, et la Commission Fédérale du Commerce (FTC), ont été informés ce mardi, pour la première fois, du piratage dont Uber a été victime en octobre 2016. Dans son communiqué le CEO du géant des VTC (Voiture de Transport avec Chauffeur), Dara Khosrowshahi, a révélé que deux hackers se sont connectés au serveur dématérialisé ou « cloud » de « Amazon Web Service », le prestataire d’hébergement d’Uber, et ont piraté les données de 57 millions d’utilisateurs, dont celles de 600.000 chauffeurs. Les deux hackers auraient récupéré les identifiants de connexion via Git Hub, mais on ne sais pas comment ils ont pénétré dans la plateforme. Un accord a été organisé par le chief de sécurité de la société, Joe Sullivan, et Craig Clark, l’avocat principal qui a informé Sullivan du piratage. L’entreprise a payé 100.000 dollars aux hackers sous condition d’effacer les données de leur copie, cela sous le regard de l’ancien PDG Travis Kalanick, selon plusieurs employés actuels et anciens qui ont parlé de façon anonyme. Clark a été licencié directement et Sullivan, qui était avant le chef de sécurité de Facebook, a démissioné après demande de Khosrowshahi. « Vous pouvez vous demander sans doute pourquoi nous n’en parlons que maintenant. Je me suis posé la même question, c’est pourquoi j’ai demandé une enquête immédiate sur ce qui s’était passé et sur la manière dont nous l’avons géré » a dit Dara Khosrowshahi dans sa déclaration. Les noms, adresses e-mail et numéros de téléphone des utilisateurs et des chauffeurs Uber ont été piratés, ainsi comme les numéros de permis de conduire de ces derniers. Les informations rélatives à l’historique des trajets, les numéros de carte et de comptes bancaires, les numéros de sécurité sociale et les dates de naissance des utilisateurs n’auraient pas été piratés, a-t-il assuré. Le procureur général a lancé une enquête, a affirmée sa porte-parole Amy Spitalnick. La FTC de son côté, a déclaré que Uber a doublement trompé les consommateurs : premièrement faisant une mauvaise surveillance de ses employés au moment d’accéder aux renseignements personnels des utilisateurs et chauffeurs, et deuxièmement en présentant faussement que les mesures pris par Uber ont été raisonnables. L’affaire a été dévoilé par Bloomberg, une société privée de logiciels financiers, de données et médias, et par le journal New York Times. Cette cyberattaque s’ajoute à une longue série de piratages informatiques qui ont touché dernièrement les Etats-Unis : Le Wall Street Journal a dévoilé en octobre le piratage des documents secrets du service de renseignement américain NSA en septembre 2014 ; Equifax, une agence américaine d’évaluation du crédit qui récolte et analyse les données personnelles de clients, a dénoncé en septembre un piratage qui a eu lieu entre mai et juillet. Mais jusqu’à présent la plus grande cyberattaque massive est celle de Yahoo en 2013 qui a affecté 3 milliards de comptes.
BLOOMBERG, THE NEW YORK TIMES, RFI »