« Ce que nous savons jusqu’ à présent, c’est que les pirates ont réussi à accéder à des comptes GitHub privés contenant les identifiants et les mots de passe de certains développeurs d’Uber. (*)

Grâce à ces informations, ils ont pu se connecter aux serveurs d’Amazon (utilisés par Uber), y télécharger des millions d’enregistrements. Ils ont ensuite pu se retourner vers Uber pour les faire chanter.

Ce qui est troublant est que ce piratage se soit produit il y a déjà un an et ne soit annoncé qu’aujourd’hui. Cela viole très probablement de nombreuses lois sur la notification des violations de données.

Les motivations ayant décidé Uber à payer les pirates ne sont pas encore claires. S’agissait-il de couvrir la brèche, de protéger leurs utilisateurs, les deux ? La quantité et le type de données dont on parle ici pourraient atteindre un prix très élevé au marché noir.

Cette attitude soulève également la question de la confiance d’Uber en ce qui concerne le paiement de la rançon et l’obtention de garanties quant à la suppression des données volées.

Quoi qu’il en soit, techniquement il ne s’agit pas d’une nouvelle brèche, mais d’une situation plus complexe pour laquelle le gouvernement et les institutions juridiques vont exiger des réponses. »

(*) Il est fortement déconseillé de télécharger de telles informations dans les dépôts de code.