Violation de données et dissimulation Uber 2016

Des attaquants ont volé les données personnelles de 57 millions de passagers et chauffeurs Uber en octobre 2016. Plutôt que de divulguer l'incident, Uber a versé aux pirates une rançon de 100 000 dollars en la déguisant en prime de bug — une dissimulation qui a entraîné un règlement de 148 millions de dollars avec les États et la condamnation pénale du responsable de la sécurité d'Uber.

Le 21 novembre 2017, plus d'un an après les faits, Uber a révélé que des attaquants avaient volé les données personnelles de 57 millions de passagers et chauffeurs en octobre 2016 — et que l'entreprise avait payé les pirates 100 000 dollars pour acheter leur silence plutôt que de signaler la violation. L'incident est devenu l'étude de cas de référence en matière de dissimulation de violation par une entreprise, et la première poursuite américaine d'un dirigeant pour avoir caché un tel incident.

Ce qui s'est passé

En octobre 2016, deux attaquants — identifiés par la suite comme Brandon Glover et Vasile Mereacre — ont obtenu l'accès à un dépôt GitHub privé d'Uber utilisé par les ingénieurs de l'entreprise. Ils y ont trouvé des identifiants Amazon Web Services valides pour le stockage cloud d'Uber. À l'aide de ces clés, ils ont téléchargé une archive de sauvegarde contenant des dossiers de passagers et de chauffeurs.

Le butin comprenait les noms, adresses électroniques et numéros de téléphone mobile d'environ 57 millions d'utilisateurs dans le monde, ainsi que les numéros de permis de conduire d'environ 600 000 chauffeurs américains.

La dissimulation

Au lieu de divulguer la violation aux régulateurs et aux personnes concernées — comme l'exigent les lois sur la notification des violations de données, et alors qu'Uber faisait déjà l'objet d'une enquête active de la FTC à la suite d'un incident antérieur en 2014 — la direction de la sécurité d'Uber a choisi la dissimulation.

Le directeur de la sécurité (RSSI) Joe Sullivan et son équipe ont payé aux attaquants 100 000 dollars en bitcoin et leur ont fait signer des accords de confidentialité attestant faussement qu'aucune donnée n'avait été dérobée. Le paiement a été acheminé via le programme de prime de bug HackerOne d'Uber pour le faire passer pour une récompense de sécurité de routine, alors même que le plafond habituel de ces primes à l'époque ne représentait qu'une fraction de cette somme.

La violation est restée cachée jusqu'à ce que le nouveau PDG Dara Khosrowshahi en prenne connaissance et la rende publique en novembre 2017.

Impact

57 millions de dossiers de passagers et de chauffeurs exposés, dont 600 000 numéros de permis de conduire.
Un règlement de 148 millions de dollars en septembre 2018 avec les procureurs généraux des 50 États américains et du district de Columbia — à l'époque le plus important règlement multi-États jamais conclu pour une violation de données.
Une ordonnance élargie de la FTC imposant 20 ans d'audits de confidentialité.
Les deux extorqueurs, Glover et Mereacre, ont plaidé coupables d'accusations fédérales de fraude informatique en 2019.
Le RSSI Joe Sullivan a été condamné au pénal en 2022 pour entrave à la FTC et non-dénonciation d'un crime, et condamné à trois ans de probation et à une amende de 50 000 dollars — la première fois qu'un cadre dirigeant de la sécurité d'une entreprise encourait une responsabilité pénale pour la dissimulation d'une violation.

Pourquoi c'est important

L'affaire Uber a redessiné la frontière entre un incident de sécurité et un délit. La violation elle-même était banale — des identifiants cloud divulgués dans un dépôt de code, un schéma répété dans tout le secteur. Ce qui l'a rendue historique, c'est la décision de la dissimuler et de déguiser un paiement d'extorsion en prime de bug. La condamnation de Sullivan a envoyé un message sans ambiguïté à chaque RSSI : l'obligation de divulguer est une obligation légale, et non un choix discrétionnaire, et un dirigeant qui enterre une violation peut être tenu personnellement et pénalement responsable.

Chronologie

1 octobre 2016

Des attaquants accèdent à un dépôt GitHub privé d'Uber, y trouvent des identifiants AWS et téléchargent une sauvegarde contenant les données de 57 millions de passagers et chauffeurs.

1 novembre 2016

Les attaquants envoient un courriel à Uber réclamant un paiement. L'équipe de sécurité, dirigée par le RSSI Joe Sullivan, verse 100 000 dollars en bitcoin et fait signer aux pirates des accords de confidentialité.

1 novembre 2016

Uber déguise le paiement en récompense de « prime de bug » et n'avertit ni les régulateurs ni les utilisateurs concernés.

21 novembre 2017

Le nouveau PDG d'Uber, Dara Khosrowshahi, divulgue publiquement la violation et la dissimulation, plus d'un an après les faits.

12 avril 2018

Uber accepte un règlement élargi avec la Federal Trade Commission américaine au sujet de la violation et de sa gestion.

26 septembre 2018

Uber conclut un règlement de 148 millions de dollars avec les procureurs généraux des 50 États et de Washington, D.C.

30 octobre 2019

Brandon Glover et Vasile Mereacre plaident coupables d'accusations fédérales de fraude informatique pour l'extorsion.

5 octobre 2022

Un jury fédéral reconnaît l'ancien RSSI Joe Sullivan coupable d'entrave à une procédure de la FTC et de non-dénonciation d'un crime pour avoir dissimulé la violation.

Sources

justice.govhttps://www.justice.gov/usao-ndca/pr/former-chief-security-officer-uber-convicted-federal-charges-covering-data-breach

npr.orghttps://www.npr.org/2018/09/27/652119109/uber-pays-148-million-over-year-long-cover-up-of-data-breach

ftc.govhttps://www.ftc.gov/news-events/news/press-releases/2018/04/uber-agrees-expanded-settlement-ftc-related-privacy-security-claims

techtarget.comhttps://www.techtarget.com/searchsecurity/news/252525808/Former-Uber-CSO-Joe-Sullivan-found-guilty-in-breach-cover-up

Incidents liés

Fuite de donnéesRançon payée1 mai 2026

Fuite ShinyHunters chez Instructure Canvas LMS (2026)

ShinyHunters a exploité le programme de comptes Free-For-Teacher de Canvas pour exfiltrer 3,65 To de données couvrant environ 275 millions d'utilisateurs dans près de 9 000 établissements scolaires — noms, adresses e-mail, identifiants d'étudiants et certains messages privés entre étudiants et enseignants. Instructure aurait payé la rançon et les données auraient été détruites.

Victim: Instructure (Canvas LMS)
Loss: $10.0M
Records: 275.0M

Fuite de donnéesRésolu16 août 2024

Fuite de numéros de sécurité sociale National Public Data

Une fuite chez le courtier en données National Public Data (Jerico Pictures) a exposé une base d'environ 2,9 milliards d'enregistrements contenant noms, numéros de sécurité sociale, dates de naissance et adresses collectés depuis des sources publiques et non publiques, déclenchant une vague de poursuites et la faillite de l'entreprise.

Victim: National Public Data (Jerico Pictures, Inc.)
Records: 2.90B

Fuite de donnéesContenu8 août 2022

Compromission en deux temps de LastPass et vol des coffres clients (2022)

Un vol de code source en août 2022 sur l'ordinateur portable d'un développeur LastPass s'est enchaîné en novembre 2022 avec la compromission de l'ordinateur personnel d'un ingénieur DevOps — donnant accès aux sauvegardes des coffres de mots de passe des clients. Les enquêteurs fédéraux ont ensuite relié les coffres volés à LastPass à un casse crypto de 150 millions de dollars.

Victim: LastPass

Fuite de donnéesRésolu6 octobre 2021

Fuite du code source et des rémunérations des créateurs de Twitch

Une mauvaise configuration de serveur a exposé l'intégralité du dépôt Git de Twitch à un attaquant anonyme, qui a diffusé 125 Go de données — le code source complet avec l'historique des commits, les outils internes et trois ans de chiffres de rémunération des créateurs — sous forme de torrent sur 4chan.

Victim: Twitch (Amazon)