En novembre 2014, alors que des rumeurs circulaient sur l’accès inapproprié de ses employés aux données de ses clients, Uber affirma qu’elle avait une stricte politique d’interdiction d’accès à ces données, et que l’accès des employés serait désormais suivi. La FTC montra que ce n’était pas le cas, et que le contrôle fut entièrement abandonné neuf mois après.
En mai 2014, un pirate accéda à des informations personnelles stockées dans le nuage sur AWS sur plus de 100 000 de ses chauffeurs. La FTC prouva que Uber avait manqué à son obligation de sécuriser les données personnelles, en permettant à ses employés d’utiliser une seule clé pour accéder aux données, en n’exigeant pas d’autorisation à facteur multiple, et en stockant des informations sensibles dans le nuage sans les chiffrer.
En août 2017, Uber Technologies conclu un accord avec la Federal Trade Commission (FTC), suite à ses déclarations trompeuses sur la confidentialité et la sécurité de ses données, l’entreprise s’engageant notamment à implémenter un programme extensif de protection des données personnelles connectées, et à se soumettre à des audits externes sur les 20 prochaines années.
Aujourd’hui, la FTC annonce que l’entreprise a accepté la révision de l’accord, avec des mesures encore plus strictes.
Car la FTC a appris après la signature de l’accord d’août 2017, que Uber avait caché, lors de l’enquête, avoir été victime d’un piratage en 2016, affectant les données personnelles de ses clients. Un piratage remarquablement similaire à celui de 2014, sur lequel la FTC enquêtait alors.
Mais bien plus étendu, puisque portant sur les données personnelles de 50 millions de clients et 7 millions de chauffeurs.
Uber avait alors caché l’affaire en offrant 100 000 dollars aux pirates pour acheter leur silence, une somme officiellement comptabilisée comme paiement pour découverte de bogue de sécurité.
La divulgation du piratage n’intervint qu’en novembre 2017, et fut l’une des premières actions du nouveau CEO, Dara Khosrowshahi.
La FTC exige donc que l’entreprise, qui devait lui fournir seulement une copie des deux premiers audits externes, lui procure une copie de tous les audits à mesure qu’ils sont effectués. Ainsi que les enregistrements liés à son programme de chasse aux bogues.
Désormais, si Uber Technologies manque à nouveau d’informer la FTC d’incidents d’accès non autorisés aux données personnelles de clients, elle s’expose à des sanctions financières pour chaque violation.
Les parties intéressées ont 30 jours pour commenter l’accord. La FTC décidera le 14 mai 2018 si elle rend cet accord final ou si elle l’amende à nouveau.
Uber est toujours la première licorne du monde. Elle a prouvé à maintes reprises qu’elle était l’une des entreprises à l’éthique la plus douteuse ayant jamais existé.