Connexion
Abonnez-vous

Uber : 57 millions de comptes piratés, 100 000 dollars pour étouffer l’affaire

Du bug bounty agressif ?

Uber : 57 millions de comptes piratés, 100 000 dollars pour étouffer l'affaire

Le 22 novembre 2017 à 07h08

En octobre de l'année dernière, Uber s'est fait dérober des données personnelles de 50 millions de clients et 7 millions de chauffeurs. La société n'a pas signalé cette fuite (concernant notamment des numéros de permis de conduire) et a payé 100 000 dollars aux pirates pour qu'ils suppriment les données.

Les fuites de données se suivent et ne se ressemblent décidément pas. Cette fois-ci, c'est au tour des clients et chauffeurs d'Uber d'en être victimes, comme le rapportent nos confrères de Bloomberg et le confirme la société de VTC.

57 millions de comptes concernés, dont 50 millions d'usagers

L'attaque remonte à octobre de l'année dernière et impacte pas moins de 57 millions de comptes. Il est ainsi question des noms, adresses email et numéros de téléphone pour plus de 50 millions d'utilisateurs. Les informations personnelles d'environ 7 millions de chauffeurs sont également concernées, notamment 600 000 numéros de permis de conduire américain.

La société affirme par contre qu'aucun numéro de sécurité sociale, de carte bancaire, détails sur les déplacements ou autre information n’a été récupéré par les pirates.

Pour arriver à leur fin, ces derniers ont pu accéder à un dépôt GitHub privé utilisé par les ingénieurs d'Uber. Ils ont alors récupéré les identifiants de connexion qui leur donnaient accès à un compte Amazon Web Services contenant une archive avec ces informations.

Ils ont ensuite envoyé une demande de rançon à Uber... une opération courante dans ce genre de situation, mais la réaction de la société l'est déjà bien moins.

Uber a payé 100 000 dollars aux pirates

Bloomberg explique en effet que la société a payé 100 000 dollars aux pirates pour qu'ils suppriment les données, et ainsi tenter de faire comme si de rien n'était. « Nous avons obtenu l'assurance que les données téléchargées avaient été détruites » ajoute Uber, à qui nous devons donc faire confiance sur ce point... La société ne dévoile par contre pas l'identité des attaquants, malgré la demande de Bloomberg.

Quoi qu'il en soit, Dara Khosrowshahi indique n'avoir été mis au courant que « récemment » de cette histoire. Le directeur général ajoute néanmoins qu'au « moment de l'incident, nous avons pris des mesures immédiates pour sécuriser les données et mettre fin à tout accès non autorisé par les individus ». Des mesures supplémentaires de protections ont également été mises en place. Dans tous les cas, les comptes concernés par cette fuite font l'objet d'une surveillance supplémentaire. 

La justice prend le relai

« Rien de tout cela n'aurait dû arriver [...] Bien que je ne puisse effacer le passé, je peux m'engager au nom de tous les employés d'Uber à apprendre de nos erreurs » explique Dara Khosrowshahi. Le chef de la sécurité Joe Sullivan et un de ses adjoints ont été licenciés pour leur rôle dans cette histoire selon nos confrères.

De son côté, le procureur général de New York, Eric Schneiderman, a ouvert une enquête. Un client poursuit également en justice Uber « pour négligence » et cherche à monter un recours collectif, comme l'indique à nouveau Bloomberg.

Commentaires (32)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

100 000$ pour effacer 57 million de comptes Uber c’est léger il manque un zéro ou c’est de BTC&nbsp;<img data-src=" />

votre avatar

« Nous avons obtenu l’assurance que les données téléchargées avaient été détruites&nbsp;»

Eh bien, c’est presque exceptionnel comme sortie <img data-src=" />

votre avatar







Loeff a écrit :



« Nous avons obtenu l’assurance que les données téléchargées avaient été détruites&nbsp;»

Eh bien, c’est presque exceptionnel comme sortie <img data-src=" />



&nbsp;



Les escrocs sont des gens en qui on peut avoir confiance <img data-src=" />&nbsp;


votre avatar

Oups, we did it again <img data-src=" />

votre avatar



« Nous avons obtenu l’assurance que les données téléchargées avaient été détruites » ajoute Uber, à qui nous devons donc faire confiance sur ce point…



Ayez confiance, Uber avait mis un DRM, impossible de copier les fichiers

votre avatar



La société affirme par contre qu’aucun numéro de sécurité sociale, de

carte bancaire, détails sur les déplacements ou autre information n’a

été récupéré par les pirates.





Ils ont cherché délibérément à cacher la vérité sur le piratage, on peut donc leur faire entièrement confiance sur ce point !

votre avatar

uber, d’un scandale à l’autre…

votre avatar

je sais vraiment pas quoi penser:

Au fonds, négocier et payer est peut-être la meilleure solution d’un point de vue protection des données personnelles. En même temps, c’est pas la bonne solution politiquement.



Par contre, tant dans les mesures organisationnelles et techniques destinée à protéger les données personnelles que dans la gestion de la crise, Uber s’est pris complètement les pieds dans le tapis. S’ils avaient un peu de considération pour leurs utilisateurs, ils les auraient informés plus vite.



Les diverses mesures prises après coup (licenciements, renforcement de la sécurité, monitoring des comptes compromis) vont dans le bon sens, mais j’espère que des deux côtés de l’atlantique, des procédures seront mise en place afin de vérifier la compliance d’uber.



Vivement l’arrivée de la GDPR, ça obligera les entreprises à se comporter plus raisonnablement avec les données personnelles.

&nbsp;

&nbsp;

votre avatar

Et bien évidemment le PDG était pas au courant…

Et bien évidemment le SSIO et son adjoint sont licenciés…



Et bien entendu le SSIO à bénéficier de tout le budget nécessaire pour déployer une sécurité nécessaire…



Parce que c’est bien connu que les PDG valident toujours les projets de sécurité qui coutent un bras mais pourtant obligatoires !!



Cela me fait toujours rire comment ces patrons jouent les vierges effarouchées devant de telles affaires..



Si le chef de sécurité pouvait parler librement je serait bien curieux d’entendre la vérité sur cette affaire..

votre avatar







jackjack2 a écrit :



Ayez confiance, Uber avait mis un DRM, impossible de copier les fichiers



Ce sont surtout les pirates qui risquent, là.

S’ils ne font pas ce qu’ils disent après avoir été payés, la prochaine fois il n’auront aucun paiement.


votre avatar







Patch a écrit :



Ce sont surtout les pirates qui risquent, là.

S’ils ne font pas ce qu’ils disent après avoir été payés, la prochaine fois il n’auront aucun paiement.





Sauf que dans les faits une autre boite n’a aucun moyen de savoir que ce groupe de pirate tiens parole ou non puisque tout est caché <img data-src=" />

Ou même que ce pirate est le même qui a attaqué telle ou telle société.



Dans le cadre d’une menace public (type Sony) avec des pirates référencés, ok à la limite. Si le but est de ne rien faire transparaître, les pirates n’ont rien à craindre et ne cherchent pas la popularité, donc peuvent changer de nom après avoir entubé leur cible.


votre avatar

c’est pas cher payé quand même.

\(100K pour \)50M, ça fait 0.2 cent le compte client.



mais bon c’est toujours ça de gagné.

j’espère pour eux que les hackers ont gardé les Bitcoins, parce que le BTC était à \(740 y'a 1 an. maintenant il est à \)8250.<img data-src=" />

votre avatar

Je suis&nbsp;assez&nbsp;d’accord avec&nbsp;toi, pour avoir travaillé avec des données sensible par le passé, c’est ahurissant comment d’un coté (CEO) comme de l’autre (Client payeur) tous le monde veut la sécurité maximale mais quand on arrive avec une demande de budget en rapport les niveaux d’exigences, là, chacun trouve une liste longue comme le bras de “bonnes” raisons pour passer outre.

Mais les Dev ne sont pas des anges non plus, ce sont souvent eux les premiers à mettre en place des contournement pour se simplifier la vie, en se disant que c’est pas grave, qu’il va corrigier dans la version suivante, ou qu’il effacera le dump de AWS dans 3 jours quand il aura fini ses tests et au final ce n’est j’amais fait et on se retrouve dans des situations comme celle-ci.

Virer le chef de la sécurité c’est bien, mais il n’est probablement coupable que de ne pas avoir été assez sur&nbsp; le dos des gars qui ont utilisé ce dump sans que lui le sache, quid des dev, et du CEO qui n’a pas financer les projets de securisation…

Quand tout le monde aura compris que la sécurité des données d’une entreprise c’est le travail de chacun au quotidien (du stagiaire au CEO) alors peut-etre que ce type de news se fera plus rare, le risque zero n’existant pas.

votre avatar

C’est clair que c’est vraiment hilarant.

“Mais si on nous a dit que c’était fait!”

votre avatar

«&nbsp;Nous avons obtenu l’assurance que les données téléchargées avaient été&nbsp;détruites&nbsp;»&nbsp;Un screenshot d’une corbeille vide je pense.



Entre escrocs, ils s’entendent.&nbsp;

votre avatar

<img data-src=" /> Ça leur coûte moins cher que de faire des sauvegardes.

votre avatar

Euh, là, les identifiants de connexion au compte AWS étaient dans leur GitHub. Un grand classique.

Ce n’est pas une histoire de budget, là.

votre avatar







Loeff a écrit :



« Nous avons obtenu l’assurance que les données téléchargées avaient été détruites »

Eh bien, c’est presque exceptionnel comme sortie <img data-src=" />



Les pirates ont du faire comme dans les films, ils leur ont envoyé le CD avec les données par porteur (au coin d’une rue sombre) en échange de la mallette de billets. <img data-src=" /> <img data-src=" />



Et comme dans les films personne n’a jamais pensé à faire une copie.


votre avatar







bloossom a écrit :



&nbsp;Au fonds, négocier et payer est peut-être la meilleure solution d’un point de vue protection des données personnelles. En même temps, c’est pas la bonne solution politiquement.&nbsp;&nbsp;

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;

&nbsp;&nbsp;





En quoi payer est la meilleure solution&nbsp;? Est-ce que par ailleurs les données n’ont pas été&nbsp;vendues à d’autres ? Parce qu’autant si on me vole un objet, si je paie pour le récupérer je l’ai à nouveau. Mais de l’information, comment être sur qu’elle ne va pas être utilisée&nbsp;autrement ?


votre avatar

En fait, quand tu es une entreprise d’envergure, c’est souvent plus facile et beaucoup moins cher de payer une compensation ou une rançon que de chercher à régler le problème.



Je prends l’exemple du monde de la finance (vécu) : si une banque a foiré un truc avec des clients et qu’ils ont le choix entre rembourser les clients en question, ou simplement payer une amende avec une compensation forfaitaire pour les clients (ce qui coute en principe plus cher), le choix de la banque peut être la seconde option. En effet, pour rembourser les clients (surtout si on parle d’intérêts qui sont assez chiants à calculer, surtout quand c’est un pro-rata), il va falloir employer des gens (souvent des consultants comme il s’agit d’un projet en principe limité dans le temps) pour définir exactement les sommes à rembourser pour chaque client ; et ça a un coût qui vient s’ajouter à celui des remboursements. Dans ces cas là, il est plus simple, plus facile et finalement moins cher d’aller directement à l’option 2.



Pour Uber, c’est exactement la même chose : on donne l’argent aux pirates pour acheter leur silence, ce qui permet d’éviter de payer des compensations, amendes, et de gérér en plus de ça une crise de com’ aux conséquences plus graves. Bon là, en l’occurrence, ça a foiré, mais en principe c’était beaucoup plus intéressant aussi bien financièrement qu’en termes d’image pour Uber de payer et cacher ça sous le tapis.

votre avatar

Entre ça et le Colorado, c’est la fête.

votre avatar

A coup sûr ils ont juste changé le mot de passe et rien de plus.

C’est ça qui est assez dingue tout de même, 100.000$ avec une “preuve comme quoi tout a été supprimé”.

Faut arrêter de prendre les gens pour des cons, les pirates sont pas assez cons pour avoir tout effacé et je suis convaincu que dans le côté sombre du web, il y a encore les données :-)

votre avatar

Et donc par simple affiliation de responsabilités c’est que le chef de sécu et son adjoint qui ramassent ?



Quand y’a un problème d’interface chaise/clavier il faut se poser les bonnes question au sein de l’entreprise et revoir les principes de règlement intérieur..

votre avatar







Jonath a écrit :



En fait, quand tu es une entreprise d’envergure, c’est souvent plus facile et beaucoup moins cher de payer une compensation ou une rançon que de chercher à régler le problème.



Je prends l’exemple du monde de la finance (vécu) : si une banque a foiré un truc avec des clients et qu’ils ont le choix entre rembourser les clients en question, ou simplement payer une amende avec une compensation forfaitaire pour les clients (ce qui coute en principe plus cher), le choix de la banque peut être la seconde option. En effet, pour rembourser les clients (surtout si on parle d’intérêts qui sont assez chiants à calculer, surtout quand c’est un pro-rata), il va falloir employer des gens (souvent des consultants comme il s’agit d’un projet en principe limité dans le temps) pour définir exactement les sommes à rembourser pour chaque client ; et ça a un coût qui vient s’ajouter à celui des remboursements. Dans ces cas là, il est plus simple, plus facile et finalement moins cher d’aller directement à l’option 2.



Pour Uber, c’est exactement la même chose : on donne l’argent aux pirates pour acheter leur silence, ce qui permet d’éviter de payer des compensations, amendes, et de gérér en plus de ça une crise de com’ aux conséquences plus graves. Bon là, en l’occurrence, ça a foiré, mais en principe c’était beaucoup plus intéressant aussi bien financièrement qu’en termes d’image pour Uber de payer et cacher ça sous le tapis.





Sauf qu’en l’occurrence si jamais les pirates venaient à se servir des données, à divulguer la fuite, à revenir pour faire cracher au bassinet uber,… la fuite sera rendu publique et uber va se faire taper sur les doigts en plus de passer pour des menteurs, des complices d’escrocs, des malhonnêtes, …



En fait un peu ce qui se passe en ce moment, ils ont lâché 100.000$ et je pense que s’ils communiquent c’est qu’il y a un loup quelque part…


votre avatar

“nous avons obtenu l’assurance que les données téléchargées ont été détruites”



me voilà rassuré, bien joué Uber <img data-src=" />

votre avatar

Il y a tellement de monde qui veut la mort d’Uber et de ses anciens dirigeants…

Les pirates peuvent être n’importe qui.

votre avatar

J’ai pas dit que c’était la solution idéale.



Mais entre un pirate qui vole des données et les revend de toute façon, et une rançon qu’on paye pour éviter la revente, la rançon est en théorie mieux pour la sécurité des données personnelles à court terme.



Après bien évidemment que ça dépendra des moyens de contrôle et de l’honnêteté des uns et des autres et je sais pertinemment qu’il n’y a aucune raison de faire confiance au rançonneur.

votre avatar

Vous faites tous un procès d’intention aux pirates. Rien ne dit qu’ils ont conservé les données.&nbsp; Après tout ils ont trouvé les identifiants d’un compte github, ce n’est pas un piratage. Ce sont peut-être des pirates honnêtes <img data-src=" />

votre avatar

Le PDG à l’époque n’est plus le même qu’aujourd’hui, il s’agissait de Travis Kalanick qui a démissionné en juin. Donc il n’est pas trop surprenant que le PDG actuel n’ait pas été mis au courant immédiatement dès son entrée en fonction.

votre avatar

Donc je me fais embaucher à l’informatique chez Uber, et après une longue journée de boulot à copier toutes leurs donnés, je leur envoi une demande de rançon de $100 000 et ils payent? <img data-src=" />

votre avatar







ProFesseur Onizuka a écrit :



Donc je me fais embaucher à l’informatique chez Uber, et après une longue journée de boulot à copier toutes leurs donnés, je leur envoi une demande de rançon de $100 000 et ils payent? <img data-src=" />





L’ancienne direction oui :)


votre avatar







bloossom a écrit :



Au fonds, négocier et payer est peut-être la meilleure solution d’un point de vue protection des données personnelles. En même temps, c’est pas la bonne solution politiquement.







Vis à vis des pirates je ne pense pas que grand-monde peut leur reprocher d’avoir payé. Non pas que c’est la bonne-chose à faire, mais après-tout c’est leur fric.



Non par-contre ne pas avoir lancé d’alerte de sécurité après l’incident pour informer les victimes (ceux dont les données sont potentiellement dans la nature), ça c’est grave !


Uber : 57 millions de comptes piratés, 100 000 dollars pour étouffer l’affaire

  • 57 millions de comptes concernés, dont 50 millions d'usagers

  • Uber a payé 100 000 dollars aux pirates

  • La justice prend le relai

Fermer