Les autorités de la Grande-Bretagne et des Pays-Bas ont infligé une amende de 1,2 million de dollars à Uber pour la fuite de données personnelles de 7 millions de conducteurs et 57 millions de passagers en 2016. Y compris des informations sur 2,7 millions de passagers et 82 000 conducteurs du Royaume-Uni et 174 000 citoyens néerlandais ont été volés. À titre de comparaison, dans l'Uber, Uber a accepté de payer 148 millions de dollars pour un règlement préalable au procès.
Les informations compromises contenaient des noms, des adresses e-mail et des numéros de téléphone, ainsi que 600 000 numéros de permis de conduire américains.
Permettez-moi de vous rappeler qu'en octobre 2016, Uber a payé un attaquant, qui s'est avéré être un Américain de 20 ans, 100 000 $ pour la suppression de données, et n'a pas annoncé le vol de données personnelles.
Le grand public a pris connaissance de cet incident le 21 novembre 2017, lorsque le nouveau chef d'Uber Dara Khosrovshahi a fait une déclaration. Il a déclaré qu'il n'y avait pas de piratage du système informatique interne de l'entreprise. Selon lui, la société utilise un service de stockage cloud tiers, sur lequel les informations volées ont été publiées et auxquelles le ransomware a eu accès.
Dans ce cas particulier, nous parlons de deux services cloud à la fois: GitHub et Amazon Web Services (AWS). GitHub est le plus grand service collaboratif de développement et de stockage de code source où les développeurs Uber ont enregistré les clés d'accès à leur compte d'entreprise dans AWS. Étant donné que le référentiel de code source est ouvert, n'importe qui peut obtenir des informations pour accéder aux données Uber stockées dans le cloud Amazon. Ayant accédé à AWS à l'aide d'une clé de GitHub, un attaquant en a téléchargé 16 fichiers contenant des données personnelles. À propos de la prévention des fuites de données sur GitHub, nous avons écrit un article séparé sur Habré .
Il est à noter que ces amendes ont été infligées par les autorités britanniques et néerlandaises avant même l'entrée en vigueur du règlement général sur la protection des données (RGPD).
Des nouvelles régulières sur des cas individuels de fuites de données sont rapidement publiées sur le canal Fuites d'informations .