Uber encore dans la tempête. Après l'exposition en septembre 2014 de données personnelles de 50 000 utilisateurs de ses services et la divulgation accidentelle d'informations de sa base de données contenant également des données personnelles utilisateurs en février 2015, le spécialiste de la réservation de voitures avec chauffeur fait face à une nouvelle situation délicate. En effet, des comptes utilisateurs, incluant le couple identifiant et mot de passe, se sont retrouvés en vente sur des sites de commerce en ligne illicites comme AlphaBay Market qui propose, entre autre, de la drogue, des armes ou encore des bijoux. Ces comptes sont en vente entre 1 et 5 dollars, et plusieurs témoignages recueillis par Motherboard indiquent qu'il s'agit bel et bien de véritables comptes et non de fictifs. Un vendeur de comptes volés interrogé par Motherboard indique même être en possession de plusieurs milliers de comptes.
En accédant à un compte utilisateur qui ne leur appartient pas, les usurpateurs peuvent accéder à tout un tas de données incluant les adresses, aux derniers numéros de cartes bancaires et dates d'expiration mais peuvent surtout être potentiellement en mesure d'effectuer des réservations de trajets payés à l'insu du véritable client Uber.
Aucune preuve de brèche établie
Face à cette situation, la société a réagi : « Nous avons enquêté et n'avons pas trouvé de preuve d'une brèche. Tenter d'accéder de façon frauduleuse ou vendre des comptes est illégal et nous avons prévenu les autorités de la situation. C'est une bonne opportunité pour rappeler aux personnes d'utiliser des noms d'utilisateurs et des mots de passe forts et d'éviter de réutiliser les mêmes identifiants sur plusieurs sites et services ». Une réponse qui peut paraître quelque peu surprenante car si Uber a été victime d'un vol d'identifiants, que ces derniers soient complexes ou non, cela permet toujours à un tiers malintentionné d'usurper l'identité de quelqu'un d'autre.
Commentaire