Uber admet avoir couvert le piratage de 2016
Uber Technologies Inc a accepté vendredi la responsabilité de couvrir une violation de données de 2016 qui a affecté 57 millions de passagers et de conducteurs, dans le cadre d’un règlement avec les procureurs américains pour éviter des accusations criminelles.
En concluant un accord de non-poursuite, Uber a admis que son personnel n’a pas signalé le piratage de novembre 2016 à la Commission fédérale du commerce des États-Unis, même si l’agence avait enquêté sur la sécurité des données de la société de covoiturage.
Stephanie Hinds, procureur des États-Unis à San Francisco, a déclaré qu’Uber a attendu environ un an pour signaler la violation, après avoir installé de nouveaux dirigeants qui ont « établi un ton fort depuis le sommet » concernant l’éthique et la conformité.
Hinds a déclaré que la décision de ne pas inculper Uber au pénal reflétait la rapidité de l’enquête et des divulgations de la nouvelle direction, ainsi que l’accord conclu par Uber en 2018 avec la FTC pour maintenir un programme de confidentialité complet pendant 20 ans.
La société basée à San Francisco coopère également avec la poursuite d’un ancien chef de la sécurité, Joseph Sullivan, pour son rôle présumé dans la dissimulation du piratage.
Uber n’a pas immédiatement répondu aux demandes de commentaires.
Sullivan a été initialement inculpé en septembre 2020. Les procureurs ont déclaré que Sullivan s’est arrangé pour payer les pirates informatiques 100 000 $ en bitcoins et leur faire signer des accords de non-divulgation qui déclaraient faussement qu’ils n’avaient pas volé de données.
Uber avait un programme de primes conçu pour récompenser les chercheurs en sécurité qui signalent des failles, mais pas pour couvrir les vols de données.
En septembre 2018, Uber a payé 148 millions de dollars pour régler les réclamations des 50 États américains et de Washington, D.C., selon lesquelles elle avait été trop lente à divulguer le piratage.
L’action Uber a clôturé en baisse de 93 cents à 23,30 dollars vendredi. L’accord de non-poursuite a été divulgué après la fermeture des marchés américains.
(Reportage de Jonathan Stempel à New York ; Édition de Leslie Adler)