La société Uber a déclaré enquête sur un « incident de cybersécurité » après avoir été informée par les forces de l’ordre qu’un hacker présumé avait affirmé avoir pénétré dans les bases de données internes de la société.
Si un tel piratage venait à être confirmé, cela pourrait potentiellement exposer de nombreuses informations critiques, notamment les données clients.
Le piratage présumé a été révélé pour la première fois dans un message interne adressé aux employés d’Uber sur la plateforme de messagerie Slack, où un compte inconnu a publié : « Je suis un hacker et Uber a subi une violation de données ».
Le hacker a partagé des images de « courriels, de stockage en ligne et de référentiels de codes » avec le New York Times et certains experts en cybersécurité.
Une capture d’écran du message envoyé par le hacker sur Slack semble montrer qu’il a d’abord été considéré comme une blague, les employés d’Uber ayant réagi avec une série d’émojis. Selon le Times, il a été demandé aux employés de l’entreprise de ne plus utiliser Slack, tandis que d’autres canaux de communication internes semblent également fermés.
Sam Curry, ingénieur en sécurité chez Yuga Labs et l’une des personnes contactées par le hacker présumé, a déclaré que des captures d’écran semblent montrer que les bases de données d’Uber hébergées sur le cloud d’Amazon et de Google pourraient avoir été « complètement compromises. »
Le hacker aurait obtenu l’accès aux systèmes internes d’Uber en utilisant une méthode connue sous le nom d’ingénierie sociale : il s’est fait passer pour un informaticien de la société et a convaincu un employé de partager ses identifiants de connexion.
Dans le cadre de cette violation des données, le hacker semble avoir pris le contrôle du compte HackerOne d’Uber, que la société utilise pour son programme de primes en matière de détection des bugs. Ce programme rémunère les experts en sécurité lorsqu’ils informent Uber de toute vulnérabilité dans leurs logiciels ou bases de données.
Dans un communiqué, la société Uber a déclaré répondre « à un incident de cybersécurité » et être « en contact avec les forces de l’ordre. » Les experts en sécurité affirment que l’incident ressemble à une violation grave, mais l’on ignore quel type de données a été consulté et si les comptes des clients ont été compromis. Le hacker présumé n’a fait aucune demande à Uber jusqu’à présent et l’on ignore s’il prévoit de rendre les données publiques.
En 2016, des hackers ont eu accès aux informations personnelles de 57 millions de comptes Uber appartenant à des chauffeurs et à des clients, ce que l’entreprise n’a pas divulgué publiquement pendant un an. Uber a versé 100 000 dollars aux hackers pour les empêcher de divulguer publiquement les données, a rapporté Bloomberg en 2017, après le licenciement du chef de la sécurité de l’époque au sein de l’entreprise, Joe Sullivan. Ce dernier fait actuellement l’objet d’accusations criminelles fédérales aux États-Unis pour ne pas avoir respecté diverses lois sur la divulgation des failles de sécurité.
Article traduit de Forbes US – Auteur : Siladitya Ray
<<< À lire également : EXCLUSIF | « Uber Files » : Enquête sur les pratiques de lobbying d’Uber >>>
Vous avez aimé cet article ? Likez Forbes sur Facebook
Newsletter quotidienne Forbes
Recevez chaque matin l’essentiel de l’actualité business et entrepreneuriat.
Abonnez-vous au magazine papier
et découvrez chaque trimestre :
- Des dossiers et analyses exclusifs sur des stratégies d'entreprises
- Des témoignages et interviews de stars de l'entrepreneuriat
- Nos classements de femmes et hommes d'affaires
- Notre sélection lifestyle
- Et de nombreux autres contenus inédits