Skip to content
Cyber Breaches
Recherche
Fuite de donnéesRésolu

Violation de données de l'application de VTC Careem

Des attaquants ont accédé aux systèmes de l'application de VTC Careem, basée à Dubaï, et volé les noms, courriels, numéros de téléphone et historiques de trajets d'environ 14 millions de passagers et 558 000 chauffeurs au Moyen-Orient, en Afrique du Nord et en Asie du Sud.

Victime
Careem
données
14.0M
utilisateurs
14.0M
SecteurTransportTechnologie
PaysÉmirats arabes unis

Le 23 avril 2018, Careem — l'entreprise de VTC dont le siège est à Dubaï et qui était le principal rival d'Uber au Moyen-Orient, en Afrique du Nord, au Pakistan et en Turquie — a révélé que des attaquants avaient volé les données personnelles d'environ 14 millions de passagers et de 558 000 chauffeurs inscrits. Il s'agissait de l'une des plus importantes violations de données de consommateurs de l'histoire de la région.

Ce qui s'est passé

Careem a détecté l'intrusion le 14 janvier 2018, lorsqu'elle a constaté que des « criminels en ligne » avaient accédé à un système stockant les informations de comptes des clients et des « capitaines » (chauffeurs). Les propres relevés forensiques de l'entreprise ont ensuite indiqué que les systèmes avaient été compromis pour la première fois en décembre 2017. Toute personne inscrite après le 14 janvier 2018 n'était pas concernée, ce qui a permis à Careem de circonscrire la population exposée aux comptes créés avant cette date.

L'entreprise a attendu environ trois mois avant de rendre l'affaire publique, un délai qu'elle a justifié en affirmant que les enquêtes sur la cybercriminalité sont « extrêmement complexes et prennent du temps » et qu'elle voulait disposer d'informations exactes avant de notifier les utilisateurs. Ce délai a suscité de vives critiques, d'autant plus que la propre violation dissimulée d'Uber avait été révélée quelques mois auparavant.

Impact

  • Environ 14 millions de passagers et 558 000 chauffeurs ont vu leurs noms, adresses électroniques, numéros de téléphone et historiques de trajets exposés.
  • Careem a déclaré que les mots de passe et les données de cartes de paiement n'avaient pas été consultés, car ceux-ci étaient hébergés sur un serveur tiers distinct conforme à la norme PCI.
  • Les données d'historique de trajets exposées étaient particulièrement sensibles dans la région, car elles pouvaient révéler les déplacements des individus, leurs domiciles et lieux de travail, ainsi que leurs habitudes de vie.
  • Careem a exhorté tous les utilisateurs à rester vigilants face au hameçonnage, à surveiller leurs comptes, et a réinitialisé les identifiants internes.

Attribution

Careem a attribué la violation uniquement à des « criminels en ligne » non identifiés et n'a nommé aucun groupe ni État-nation. Aucun acteur malveillant n'a publiquement revendiqué la responsabilité, et aucune arrestation n'a été signalée. La motivation semblait être le vol de données personnelles en masse, bien qu'aucune demande de rançon n'ait été divulguée.

Pourquoi c'est important

La violation de Careem a constitué un moment charnière pour la sensibilisation à la protection des données dans le Golfe et en Asie du Sud, des régions où la réglementation sur la vie privée des consommateurs en était encore à ses balbutiements. Elle a mis en lumière la valeur des données de trajets et de localisation détenues par les super-applications et le coût réputationnel d'une divulgation tardive. Survenant peu avant l'acquisition de Careem par Uber pour 3,1 milliards de dollars en 2019, elle a également souligné à quel point la diligence raisonnable en matière de cybersécurité était devenue centrale dans les grandes transactions technologiques régionales.

Chronologie

  1. Les systèmes de Careem sont compromis pour la première fois, selon les relevés ultérieurs de l'entreprise.

  2. Careem détecte que des « criminels en ligne » ont accédé à une base de données stockant les informations de comptes des clients et des chauffeurs.

  3. Careem révèle publiquement la violation, environ trois mois après sa détection, notifiant quelque 14 millions d'utilisateurs.

  4. Careem déclare que noms, courriels, numéros de téléphone et données de trajets ont été dérobés, mais ni les mots de passe ni les données de cartes de paiement.

  5. Des commentateurs en sécurité critiquent le délai de divulgation de plusieurs mois et l'ampleur des données personnelles exposées.

Sources

  1. cnbc.comhttps://www.cnbc.com/2018/04/23/careem-says-data-of-14-million-drivers-and-riders-stolen-in-cyberattack.html
  2. dawn.comhttps://www.dawn.com/news/1403401
  3. news.sophos.comhttps://news.sophos.com/en-us/2018/04/25/ride-hailing-service-careem-lost-14-million-users-data-in-january/
  4. tomshardware.comhttps://www.tomshardware.com/news/careem-data-breach-14-million,36937.html
  5. gulfbusiness.comhttps://gulfbusiness.com/en/2018/transport/dubais-careem-reports-data-breach-affecting-millions-customers/

Incidents liés

Fuite de donnéesRésolu

Violation de données et dissimulation Uber 2016

Des attaquants ont volé les données personnelles de 57 millions de passagers et chauffeurs Uber en octobre 2016. Plutôt que de divulguer l'incident, Uber a versé aux pirates une rançon de 100 000 dollars en la déguisant en prime de bug — une dissimulation qui a entraîné un règlement de 148 millions de dollars avec les États et la condamnation pénale du responsable de la sécurité d'Uber.

Victim
Uber Technologies, Inc.
Loss
$148.0M
Records
57.0M
Fuite de donnéesRésolu

Fuite de données BannerBit (2018)

Aux alentours de décembre 2018, la plateforme publicitaire en ligne BannerBit a subi une fuite de données. Contenant 213 000 adresses e-mail uniques et des mots de passe en texte clair, les données ont été fournies à HIBP par un tiers. Plusieurs tentatives ont été faites pour contacter BannerBit, mais aucune réponse n'a été reçue.

Victim
BannerBit
Records
213.4K
Fuite de donnéesRésolu

Fuite de données Ajarn (2018)

En septembre 2021, le site thaïlandais d'enseignement de l'anglais Ajarn a découvert qu'il avait été victime d'une fuite de données remontant à décembre 2018. La fuite a été signalée à HIBP par l'entreprise elle-même et comprenait 266 000 adresses e-mail, noms, genres, numéros de téléphone et autres informations personnelles.

Victim
Ajarn
Records
266.4K
Fuite de donnéesContenu

Violation de données Quora

La plateforme de questions-réponses Quora a révélé qu'un tiers non autorisé avait accédé aux données d'environ 100 millions d'utilisateurs, dont les noms, adresses e-mail, mots de passe salés et hachés, ainsi que des contacts et données démographiques importés.

Victim
Quora
Records
100.0M