Uber face à une nouvelle fuite de données

Uber, l’un des plus grands services de taxi au monde, fait face à une nouvelle controverse sur la fuite des données de ses chauffeurs, et au Canada, la filiale québécoise se fait hacker par une class action !

Des pirates informatiques ont réussi à accéder aux serveurs de Genova Burns, un cabinet d’avocats qui fournit des services juridiques à Uber. Les malveillants ont volé des informations confidentielles, notamment les numéros de sécurité sociale et les numéros d’identification fiscale des chauffeurs.

Selon des représentants de Genova Burns, l’attaque s’est produite fin janvier 2023 (du 23 au 31 janvier 2023) et a été découverte quelques jours plus tard. On ne sait pas encore combien de personnes ont été touchées par la violation et si les informations volées ont été utilisées. Ce n’est pas la première fois qu’Uber rencontre des problèmes de protection des données de ses clients et de ses employés.

En 2016, l’entreprise a caché au public le fait d’un piratage informatique qui s’est conclu par le vol des données de 57 millions d’utilisateurs et de conducteurs d’Uber dans le monde.

Uber avait été condamné à une amende de 148 millions de dollars par des agences gouvernementales américaines. L’ancien chef de la sécurité d’Uber, Joe Sullivan, fait face à des accusations criminelles pour avoir dissimulé l’infraction et pourrait encourir jusqu’à 8 ans derrière les barreaux.

En septembre 2022, un adolescent affilié au groupe de pirates informatiques Lapsus$ a accédé aux systèmes internes d’Uber, y compris le compte G Suite de l’entreprise, et a téléchargé des messages internes Slack et un outil utilisé par son service financier pour gérer « certaines » factures. L’intrus a déclaré qu’il était entré par effraction dans Uber pour le plaisir, qu’il pourrait divulguer une partie de son code source et a décrit la sécurité de l’entreprise comme « horrible ».

Quelques semaines plus tard, un pirate commercialisait sur Breached Forum une base de données volées à Uber. Le pirate était passé par le fournisseur Teqtivity. Il se disait être membre du groupe Lapsus$. Aucune donnée client d’Uber n’avait été touchée. Plus de 77 000 employés d’Uber et d’UberEats avaient été divulgués. Certaines des données concernaient également des services de fournisseurs tiers et des plates-formes de gestion d’appareils mobiles utilisées par Uber.

Pendant ce temps, au Québec

La Cour supérieure a autorisé le 31 octobre 2022 l’exercice d’une action collective contre Uber Canada Inc., Uber B.V. et Uber Portier B.V. et a attribué à cette fin le statut de représentant à madame Fay Leung.

L’action collective entreprise a été autorisée au nom de toutes les personnes résidant au Québec et qui ont effectué une transaction sur l’application mobile Uber Eats ou sur le site internet et qui ont payé des frais de livraison du 4 juillet 2017 jusqu’au 20 avril 2021.

Dans l’éventualité d’un jugement favorable, les conclusions recherchées par l’action collective seraient, entre autres : payer à chacun des membres du Groupe un montant de 100 $, par transaction, à titre de dommages-intérêts punitifs, avec intérêts au taux légal majorés de l’indemnité additionnelle prévue à l’article 1619 du C.c.Q.