Uber a payé 100 000 $ aux pirates pour dissimuler une violation massive des données
Publié: 2017-11-22Dans le cadre de la violation qui a eu lieu l'année dernière, les données de 57 millions de passagers et de chauffeurs Uber ont été consultées illégalement
Dans un monde où plus de 2,5 quintillions d'octets de données sont consommés quotidiennement par le biais d'e-mails, de vidéos, d'images, de tweets et de contenus, la contrefaçon sous une forme ou une autre est inévitable. Lorsqu'une faille de sécurité se produit, il incombe à l'entreprise/plate-forme infiltrée d'alerter les clients et les agences gouvernementales. C'est là qu'Uber a cruellement échoué.
Selon des rapports qui ont fait surface cette semaine, le géant mondial du covoiturage a subi une violation massive en octobre 2016, au cours de laquelle les données de plus de 57 millions de conducteurs et de clients ont été consultées illégalement . Au lieu de signaler l'infraction aux autorités, Uber a choisi de garder le piratage secret pendant plus d'un an, allant jusqu'à payer 100 000 $ aux attaquants pour leur silence .
Des informations sur la cyberattaque ont finalement fait surface lorsque l'agrégateur de taxis a évincé son chef de la sécurité et quelques autres personnes impliquées dans la dissimulation, plus tôt cette semaine.
En réponse à la controverse, le PDG nouvellement couronné de la société, Dara Khosrowshahi , a déclaré : « Rien de tout cela n'aurait dû se produire, et je ne ferai pas d'excuses pour cela. Nous changeons notre façon de faire des affaires. Bien que je ne puisse pas effacer le passé, je peux m'engager au nom de chaque employé d'Uber à ce que nous apprenions de nos erreurs."
Fait intéressant, ce n'est pas la première fois que les détails privés des chauffeurs et des clients Uber sont consultés. En 2015, l'agrégateur de taxis a accidentellement divulgué les informations personnelles de centaines de ses chauffeurs via une nouvelle application appelée "Uber Partner". Des détails tels que les numéros de sécurité sociale, les scans des permis de conduire et les formulaires fiscaux ont été rendus publics.
Que s'est-il exactement passé en octobre dernier ?
Dans le cadre de la violation qui a eu lieu en octobre de l'année dernière, les attaquants ont eu accès aux noms, adresses e-mail et numéros de téléphone de plus de 50 millions de passagers Uber du monde entier. De plus, les données personnelles de jusqu'à 7 millions de conducteurs , dont 600 000 aux États-Unis seulement, ont été piratées, ont révélé des sources.
Alors, comment exactement la violation s'est-elle produite? Comme l'a rapporté Bloomberg dans un rapport récent, deux attaquants ont réussi à s'introduire dans un côté de codage GitHub utilisé par les ingénieurs d'Uber et à récupérer des identifiants de connexion authentiques, qu'ils ont ensuite utilisés pour accéder aux données privées stockées dans l'un des comptes AWS de l'entreprise.
Le compte, selon les sources, était utilisé par l'équipe d'ingénierie de l'agrégateur de cabines pour gérer diverses tâches informatiques. Grâce au compte, les pirates ont mis la main sur une vaste archive de données de coureurs et de conducteurs. Armé de ces détails, le duo aurait fait chanter l'entreprise pour de l'argent.
Au lieu d'informer les autorités de la violation, Uber a décidé de prendre les choses en main. Alors que payer une somme forfaitaire pour acheter le silence des attaquants était probablement son premier plan d'action, la société a affirmé qu'elle avait pris des mesures pour inverser la brèche.
Khosrowshahi a ajouté : « Au moment de l'incident, nous avons pris des mesures immédiates pour sécuriser les données et empêcher tout accès non autorisé par les individus. Nous avons également mis en place des mesures de sécurité pour restreindre l'accès et renforcer les contrôles sur nos comptes de stockage basés sur le cloud. »
Cependant, les informations piratées n'ont probablement jamais été utilisées, a déclaré le PDG Dara Khosrowshahi.
Recommandé pour vous:
Comment Metaverse va transformer l'industrie automobile indienne
Que signifie la disposition anti-profit pour les startups indiennes ?
Comment les startups Edtech aident la main-d'œuvre indienne à se perfectionner et à se préparer pour l'avenir...
Stocks technologiques de la nouvelle ère cette semaine : les problèmes de Zomato continuent, EaseMyTrip publie des...
Les startups indiennes prennent des raccourcis à la recherche de financement
La plate-forme de marketing numérique Logicserve met en sac un financement INR 80 Cr et se rebaptise LS Dig ...
Alors, pourquoi Uber a-t-il dissimulé la violation en premier lieu ?
Pour comprendre pourquoi Uber a choisi de garder la brèche secrète, au lieu de la traiter de manière transparente, nous devons approfondir. Curieusement, l'incident s'est produit à un moment où la plateforme de covoiturage était déjà impliquée dans une enquête sur des violations présumées de la vie privée.
Le PDG d'Uber de l'époque, Travis Kalanick, a été informé de l'attaque plus tard en novembre 2016. Comme le raconte Bloomberg dans son rapport, l'agrégateur de taxis venait de régler un procès à New York concernant des divulgations de sécurité des données et était impliqué dans des négociations avec le Federal Trade. Commission sur les mesures de sécurité lors du traitement des données des consommateurs.
Les actions douteuses prises à la suite de la violation ont été en grande partie menées par le chef de la sécurité désormais évincé, Joe Sullivan. Près de onze mois après l'attaque, le conseil d'administration d'Uber a chargé un cabinet d'avocats tiers d'ouvrir une enquête sur l'intégralité de l'épisode. La mauvaise gestion de la crise par Sullivan et son incapacité à divulguer n'ont été découvertes que le mois dernier.
Suite à la publication de la déclaration d'Uber hier, le procureur général de New York, Eric Schneiderman, a ordonné une nouvelle enquête sur la cyberattaque. Pendant ce temps, le géant du covoiturage a également été poursuivi par un client pour négligence.
Uber : un héritage troublé qui ne disparaîtra pas
Fondée en août 2008 par Travis Kalanick et Garrett Camp, la société basée à San Francisco est actuellement en train de lever 10 milliards de dollars auprès de Softbank et d'un groupe d'autres investisseurs. Bien qu'évalué à plus de 70 milliards de dollars, son parcours au cours des neuf dernières années a été tout simplement dramatique. Janvier 2017 a commencé avec Uber confronté à une campagne sociale #DeleteUber après avoir été perçu à tort comme essayant de briser une grève des taxis d'une heure à l'aéroport JFK.
Plus tard, il a suscité la colère des utilisateurs après que Donald Trump a signé un décret exécutif sur l'interdiction d'immigration pour les réfugiés syriens et bloqué l'entrée des citoyens de sept pays à prédominance musulmane. À cette époque, Travis Kalanick d'Uber faisait partie du conseil consultatif commercial de Trump, ce qui a conduit à l'extension de #DeleteUber.
En février, l'ancienne ingénieure d'Uber, Susan Fowler, a révélé des allégations de harcèlement sexuel et de sexisme dans un article de blog sur son année chez Uber. Le même mois, Waymo, une société de voitures autonomes issue de Google, a poursuivi Uber en alléguant qu'Anthony Levandowski – un ancien cadre supérieur du projet de voiture autonome de Google – avait volé une technologie essentielle à Google avant de partir pour gérer la voiture autonome d'Uber. division.
Suite à toutes ces allégations, Travis Kalanick a démissionné de son poste de PDG sous la pression des investisseurs le 20 juin, sous la pression des autres actionnaires. Depuis lors, Kalanick a également été poursuivi par le premier investisseur Benchmark Capital ainsi que par le Irving Firemen's Relief and Retirement Fund, l'accusant de fraude, de rupture de contrat et de manquement à une obligation fiduciaire.
Plus tard en août, Uber a trouvé son nouveau capitaine à Dara Khosrowshahi. En septembre, l'agrégateur de taxis a de nouveau fait la une des journaux lorsqu'il a été interdit à Londres. Lorsque la nouvelle a initialement fait surface que l'autorité des transports de Londres ne renouvellerait pas la licence d'Uber pour opérer dans la ville, Khosrowshahi avait déclaré dans une lettre ouverte : « Au nom de tout le monde chez Uber dans le monde, je m'excuse pour les erreurs que nous avons commises. ” Uber a depuis déposé un recours auprès de Transport for London concernant l'annulation de l'interdiction et espère commencer bientôt ses opérations dans la ville.
Les choses semblent plus brillantes sur le marché indien
Fin 2016, le chiffre d'affaires net d'Uber atteignait 6,5 milliards de dollars ; un chiffre impressionnant si l'on ne tient pas compte des pertes de 2,8 milliards de dollars qu'elle a subies au cours de la même période. Dans le cas de l'Inde, les revenus totaux déclarés au cours de l'exercice 2015 n'étaient que de 3 millions de dollars (18,7 cr INR) supérieurs aux pertes subies.
Cependant, depuis la vente de ses opérations chinoises à Didi Chuxing, basée à Pékin, et sa fusion avec Yandex en Russie, Uber a commencé à concentrer ses efforts sur la conquête du marché indien, qui est actuellement peuplé de géants locaux comme Ola et d'associations de taxis traditionnelles. L'année dernière, par exemple, il a promis d'injecter une partie substantielle des 3,5 milliards de dollars qu'il a levés auprès du Fonds d'investissement public d'Arabie saoudite dans Uber India.
En juillet de cette année, la société a versé 7,99 millions de dollars (INR 51,64 Cr) à Uber India conformément aux documents déposés auprès du registraire des sociétés. Cette infusion a eu lieu en mai 2017 conformément aux documents déposés par la société auprès de la MCA. Le montant a été transféré des filiales de la société aux Pays-Bas, notamment Uber Holdings International BV, Uber International BV, Besitz Holding BV et Mieten BV.
Depuis juin 2016, la présence de l'entreprise en Inde a été multipliée par 2,5 en termes de nombre de voyages ainsi que de volume total de marchandises, comme l'a affirmé le directeur d'Uber India, Amit Jain, dans une interview avec Livemint. Pour consolider sa présence en Inde, la start-up de taxi a lancé le projet pilote d'UberPASS dans certaines villes métropolitaines, grâce auquel les chauffeurs de taxi peuvent désormais bénéficier de tarifs réduits et d'une variété d'avantages exclusifs. Cela inclut le choix des conducteurs les mieux notés, l'exonération des frais d'annulation, l'accès exclusif aux produits et fonctionnalités premium et plus encore.
Il a également fait une incursion dans la livraison de nourriture avec le service UberEATS, qui offre aux restaurants locaux une option de livraison. La société affirme également avoir nommé des centaines de partenaires de livraison pour faire d'UberEATS un succès. Pendant ce temps, le Premier ministre Narendra Modi envisage de s'associer à des sociétés de partage de taxis, dont Uber, pour tenter de réduire les embouteillages. L'essai de trois mois permettra au gouvernement d'accéder à des moyens de réduire la possession de voitures particulières dans le pays.
En juillet dernier, la branche indienne de la société de covoiturage a annoncé l'intégration de l'interface de paiement unifiée (UPI) sur sa plate-forme. L'installation a été intégrée pour permettre aux passagers qui disposent déjà d'adresses de paiement virtuelles pour les transactions UPI de payer leurs trajets à l'aide de la plate-forme de paiement interbancaire.
Qu'on le veuille ou non, les violations de données sont monnaie courante aujourd'hui. De grands acteurs comme Yahoo, MySpace, Target Corp, Anthem Inc et Equifax Inc ont tous souffert d'atteintes à la sécurité de quelque nature que ce soit ces derniers temps. Cela ne justifie toutefois pas la décision d'Uber de dissimuler un manquement de cette ampleur. Dans une année qui a été semée de controverses et de revers, cela pourrait-il être le dernier clou dans le cercueil dans lequel se trouve Uber ?