Victime d'une brèche massive de données utilisateurs l'année dernière, Uber a préféré acheter le silence des hackers que de faire face à ses répercussions éventuelles. Depuis plusieurs mois maintenant, la licorne américaine enchaîne la mauvaise presse et tente de redorer son blason.

C'est une révélation qui ne va pas arranger les affaires d'Uber, déjà lourdement plombé par les polémiques : 57 millions d'utilisateurs d'Uber, dont 7 millions de chauffeurs, ont été piratés en 2016. Le CEO d'alors, Travis Kalanick, était au courant et l'ancien chef de la sécurité (CSO - Chief Security Officer) a aidé à dissimuler la bévue.

Comment ? Tout simplement en achetant le silence des hackers à l'origine du piratage. C'est Dara Khosrowshasi, le nouveau boss du service de VTC, qui a dévoilé les dessous de l'affaire dans la foulée des informations dévoilées par Bloomberg.

Une faille dissimulée par les dirigeants.

Celui-ci assure avoir appris la nouvelle récemment : des pirates ont accédé aux serveurs GitHub et compromis les données de millions d'utilisateurs, comme les noms, adresses email et numéros de téléphone. Parmi les 7 millions de chauffeurs Uber concernés, 600 000 basés aux États-Unis ont vu leur numéro et permis de conduire téléchargés.

Toutefois, Uber assure que les informations les plus sensibles (historique de voyage, numéros de carte de crédit, numéros de sécurité sociale et dates de naissance) n'ont pas été téléchargées et que des mesures ont été mises en place au moment du piratage pour sécuriser la faille.

100 000 dollars de rançon.

« Rien de cela n'aurait dû arriver, et je ne trouverai aucune excuse », Dara Khosrowshasi.

Les attaquants ont été identifiés (deux individus n'appartenant pas à l'entreprise), mais Uber a préféré s'assurer qu'ils suppriment les données téléchargées avant de leur payer une rançon de 100 000 dollars pour acheter leur silence. Une démarche qui s'explique notamment par les discussions entamées à l'époque par la compagnie avec la Federal Trade commission concernant... sa gestion des données utilisateurs et deux violations distinctes de la vie privée.

Deux cadres « chargés de la gestion » de l'affaire ont depuis été congédiés, dont Joe Sullivan, le directeur de la sécurité. Les victimes ont été prévenues de la brèche et les chauffeurs ont bénéficié d'un programme de protection contre le vol d'identité.