L'autorité de protection des données personnelles des Pays-Bas (Dutch Data Protection Authority) inflige une amende de 600 000 € à Uber Technologies. Dans le même temps, son homologue britannique (Information Commissioner's Office ; ICO) sanctionne Uber d'une amende de 385 000 £ (près de 434 000 €).
Dans cette affaire, Uber a reconnu la compromission des données de 57 millions d'utilisateurs dans le monde (noms, adresses mail et numéros de téléphone portable) et des numéros de permis de conduire de chauffeurs.
Sous la houlette de son ancien patron Travis Kalanick, Uber avait tenté d'étouffer la fuite de données en payant une rançon de 100 000 $ pour acheter le silence des attaquants, et avec la promesse de la destruction des données dérobées.
" Il s'agissait non seulement d'un grave manquement à la sécurité des données de la part d'Uber, mais aussi d'un mépris total pour les clients et chauffeurs dont les données personnelles ont été volées. À l'époque, aucune mesure n'avait été prise pour informer les personnes concernées ou pour leur offrir de l'aide et du soutien ", déclare Steve Eckersley, directeur des enquêtes de l'ICO.
Les sanctions sont prononcées en vertu d'une législation antérieure au Règlement général sur la protection des données (RGPD) en Europe qui est entré en vigueur le 25 mai 2018.
Aux États-Unis, Uber avait annoncé en septembre un accord amiable de 148 millions de dollars avec 50 États pour solder cette même affaire et éviter un procès.
Concernant l'incident de sécurité, il aurait été l'œuvre d'attaquants ayant obtenu un accès à un dépôt de code privé sur GitHub utilisé par des ingénieurs logiciels d'Uber. Ils auraient ensuite obtenu des identifiants pour accéder à des informations stockées sur un compte Amazon Web Services et y auraient découvert les données personnelles.
