Chauffeurs Uber : bug et divulgation de données personnelles

Uber, la très médiatisée compagnie de taxi, a accidentellement divulgué les données personnelles de plus d’une centaine de ses chauffeurs Uber, révélant ainsi les noms, les numéros de sécurité sociale, les photos des permis de conduire, les déclarations de revenus, et bien d’autres données sensibles.

Initialement signalée par l’un de ses chauffeurs Uber la semaine dernière, la faille de sécurité a d’abord été publiée sur un forum dédié à Uber, ainsi que sur le site d’information bien connu, Reddit.

Un chauffeur anonyme, a déclaré à Motherboard, qu’il aurait découvert des informations appartenant à d’autres personnes, lors d’une opération de téléchargement d’un document sur son compte.

Il a déclaré que lorsqu’il avait réinitialisé la page, qui aurait dû afficher uniquement ses propres données, il s’est retrouvé en face d’un écran rempli de données personnelles d’autres chauffeurs Uber :

Lorsque j’ai regardé de plus près, il semblait s’agir de la base de données des chauffeurs Uber, qui sont des chauffeurs de taxi qui ont aussi accès à Uber. Il y avait des formulaires de certification pour taxi, des permis de conduire professionnels, des formulaires W-9 avec les numéros de sécurité sociale pour les compagnies de taxis.

Quelques heures après, Uber a confirmé la faille de sécurité, en déclarant que cette dernière avait affecté pas plus de 674 de ses chauffeurs Uber aux Etats-Unis, et moins d’un millier de documents avait pu être consultés par d’autres chauffeurs Uber, inscrits sur le site, et qui étaient connectés à leurs comptes :

Nous avons été avertis d’un bug qui avait impacté une partie de nos chauffeurs Uber américains, en début d’après-midi. En une demi-heure, notre équipe technique avait résolu ce problème. Nous voulons remercier le chauffeur qui a attiré notre attention sur cette faille, et nous excuser auprès des autres chauffeurs Uber, dont les données personnelles ont pu être affectées. La sécurité de ces informations est primordiale pour Uber, et nous assurerons le suivi directement avec les intéressés.

Selon Gawker, l’affichage accidentel des données personnelles appartenant aux chauffeurs Uber, est lié à la sortie d’une nouvelle application d’un partenaire d’Uber, conçue par la compagnie en question, afin “de donner aux chauffeurs Uber plus d’informations et permettre à Uber de mieux travailler avec eux”.

Cette application permet aux chauffeurs Uber de gérer leurs comptes, de suivre les prix des courses, et d’agir en tant que plateforme pour les nouvelles recrues, en téléchargeant leurs documents. Ces derniers incluent les scans de leurs documents de sécurité sociale, de leurs permis de conduire : exactement le type de données avec lesquelles un potentiel voleur d’identité pourrait s’en donner à cœur joie !

Comme certains d’entre vous le savez déjà, Uber a une mauvaise réputation lorsqu’il s’agit de protéger les données personnelles de ses chauffeurs et de ses utilisateurs en général.

Le mois dernier, Motherboard a relayé une autre histoire dans laquelle on découvrait qu’Uber ne désactivait pas les comptes des utilisateurs qui avait, auparavant, signalé qu’ils avaient été piratés, et demandaient de ce fait un changement de mot de passe. Cette situation, bien évidemment, permet à de potentiels hackers de continuer d’aller et venir à leur guise, au sein des comptes piratés, et ce longtemps après la première intrusion.

En continuant sur le même thème, nous avons expliqué le mois dernier, comment des comptes piratés, et récupérés sur le dark net pour à peine 40 centimes, étaient utilisés par des fraudeurs pour réserver des courses en Chine. Ce problème d’ailleurs, n’est pas facilité par la tendance, toujours actuelle, d’Uber à envoyer, par mail et en clair, les nouveaux mots de passe.

En début d’année, nous avions signalé comment la base de données des chauffeurs Uber s’était retrouvée sur GitHub, mettant en danger ainsi les données personnelles de plus de 50 000 chauffeurs Uber.

Cette faille de sécurité est à présent reliée, petit à petit, à l’un des concurrents d’Uber : Lyft, après qu’Uber ait découvert qu’une adresse IP, supposée appartenir au CTO de Lyft, Chris Lambert, avait eu accès à la base de données, grâce à une clé piratée sur GitHub. Lyft a nié toute implication.

Ensuite, nous avons eu affaire à cette base de données interne perdue et puis retrouvée, qui a dévoilé les données clients après avoir été publiée, et pourtant laissée en ligne.

Une autre affaire incroyable concernant la gestion de la confidentialité chez Uber, est l’histoire de ce candidat à qui on a donné un accès illimité aux données clients, non seulement pendant son entretien, mais aussi pendant les quelques heures qui ont suivit.

Même si l’embauche des experts sécurité en piratage de voiture, Charlie Miller et Chris Valasek, va certainement aider Uber à mieux verrouiller la sécurité sur ces futures voitures sans chauffeur, la compagnie a encore du travail pour protéger la confidentialité des chauffeurs Uber et de ses clients.

Uber, dans le passé, a plutôt mal réagit aux critiques de journalistes, concernant ses pratiques en matière de sécurité, allant jusqu’à des menaces de violation de leur vie privée. en effet, un des dirigeants avait suggéré de divulguer des informations embarrassantes sur quiconque critiquerait la compagnie. Une journaliste avait été suivie pour un simple retard à un rendez-vous avec la compagnie.

Il semblerait que l’ex-Facebook, à présent CSO chez Uber, Joe Sullivan, va avoir du pain sur la planche !

Billet inspiré de : “Uber mistake leaves hundreds of drivers’ personal information exposed” par Lee Munson de Naked Security

Partagez “Chauffeurs Uber : bug et divulgation de données personnelles” avec http://wp.me/p2YJS1-28r