Devant les autorités, et afin d'éviter toute poursuite, Uber assume la responsabilité d'avoir dissimulé un piratage de données confidentielles.

Pendant près d'un an, Uber a couvert un piratage de données confidentielles

En novembre 2016, Uber a été victime d'une cyberattaque ayant compromis la sécurité des données de plus de 57 millions d'utilisateurs de ses services. En accédant à un compte GitHub privé utilisé par les ingénieurs d’Uber, les pirates ont ensuite récupéré des identifiants leur permettant d'avoir accès à un compte Amazon Web Services contenant de nombreuses informations. Ce vol de données a permis aux hackeurs de récupérer noms, adresses e-mail, numéros de téléphone, et numéro de permis de conduire, de 7 millions de chauffeurs Uber et de 50 millions de clients partout dans le monde.

À ce moment-là, la loi obligeait Uber à alerter la Federal Trade Commission (FTC), ce qui aurait lancé des procédures pénales ainsi qu'une enquête afin de connaître les tenants et les aboutissants de ce vol de données. Mais la firme va prendre une autre décision : elle va cacher ce vol pendant près d'un an. En parallèle, Joseph Sullivan, ancien chef de la sécurité d'Uber, va donner 100 000 dollars aux hackeurs en leur faisant signer un accord de confidentialité.

Grâce à la réactivité de la nouvelle direction, Uber ne sera pas poursuivi

La procureure fédérale Stephanie Hinds a déclaré à Reuters qu’il a fallu un an et l’arrivée d’une nouvelle direction beaucoup plus stricte vis-à-vis de la confidentialité et de l'éthique pour signaler la violation subie. En novembre 2017, la direction d'Uber se renouvelle, et change de politique. Elle révèle publiquement s'être fait voler ces données.

Rapidement, les autorités américaines et les 50 États entament de vives discussions avec l'entreprise qui tente de trouver une solution. Elles reconnaissent que la nouvelle direction d'Uber n'a pas hésité à dévoiler publiquement le hack, contrairement à la précédente, ce qui va lui permettre d'arriver à un accord, et ne pas être poursuivi en justice.

En septembre 2018, un accord est trouvé : Uber a dû régler la somme de 148 millions de dollars afin de mettre un terme à cette histoire. Le groupe reconnaît aujourd'hui que ses équipes n'ont pas signalé le piratage de données au moment où celui-ci est survenu et que cet acte était délibéré. Depuis 2018, un programme complet de confidentialité sur 20 ans a été signé par la firme avec la Federal Trade Commission.