Dans un communiqué de presse, Uber a avoué avoir subi une énorme violation de ses données en 2016 : 57 millions de noms, d’adresses email et de numéros de téléphone de clients et de conducteurs ont été compromis. Selon l’agence Bloomberg, aucunes informations sur les trajets, les informations bancaires et les numéros de sécurité sociale n'ont été dérobées.

Uber aurait payé 100 000 $ aux pirates informatiques pour supprimer les données et éviter leur diffusion. Au moment de la violation, la compagnie californienne était en train de négocier avec les régulateurs fédéraux américains au sujet de différents problèmes de confidentialité. La société aurait essayé de le cacher ce vol de données et c'est le récent CEO Dara Khoshrowhashi, qui aurait décidé de le divulguer publiquement.

Deux employés de la sécurité remerciés 

Dans le communiqué publié mardi matin, Dara Khosrowshahi, qui a succédé à son co-fondateur Travis Kalanick en début d'année, a exprimé son étonnement face à cet incident. « Vous demandez peut-être pourquoi nous en parlons maintenant, un an plus tard », écrit-il dans un article publié mardi matin. «  Je me suis posé la même question, alors j'ai immédiatement demandé une enquête approfondie sur ce qui s'est passé et comment nous l'avons géré. »

Deux agents de sécurité de la société ont été remerciés. L’un d’eux serait le chef de la sécurité Joe Sullivan, qui aurait aidé l’ancien CEO Travis Kalanick a dissimulé ce piratage. Selon son profil LinkedIn, avant de venir travailler dans des entreprises technologiques dans la Silicon Valley en 2002, Joe Sullivan a été adjoint au procureur des États-Unis dans le district nord de Californie, avec comme principale mission les délits liés à la haute technologie.

Une communication plus transparente 

« Rien de tout cela n'aurait dû arriver, et je ne ferai pas d'excuses pour cela », a poursuivi Dara Khosrowshahi. « Bien que je ne puisse effacer le passé, je peux m'engager au nom de tous les employés d'Uber à apprendre de nos erreurs. Nous changeons notre façon de faire des affaires, en mettant l'intégrité au cœur de chaque décision que nous prenons et en travaillant dur pour gagner la confiance de nos clients. » Le CEO a également noté que l'entreprise notifierait aux « autorités de réglementation » toutes autres violations de données. En France, les opérateurs sont obligées de déclarer le moindre vol de données personnelles (dans un délai de 24 heures). Et le paquet Cyber européen attendu en 2018 obligera les entreprises à notifier les vols de données et les cyberattaques à l'Agence européenne chargée de la sécurité des réseaux et de l'information (Enisa).