À vendre : compte Uber piraté, à partir 1 dollar. Des centaines de comptes permettant d'accéder à l'application du VTCiste (voiture de transport avec chauffeur) auraient été piratés et leur accès revendu entre 1 et 5 dollars, a révélé fin mars le site américain Motherboard, détenu par Vice. Le magazine rapporte que les comptes ont été mis en vente sur AlphaBay, un site localisé sur la partie invisible d'Internet, le deep Web (ou dark Web), dont les sites ne sont pas répertoriés sur les moteurs de recherche et qui nécessite une connexion via le réseau d'anonymisation TOR pour y accéder. L'opération permet ainsi aux acheteurs de profiter de courses aux frais des propriétaires légaux des comptes.
Les mots de passe et identifiants piratés permettent également d'accéder aux numéros de téléphones, à l'adresse et même à une partie des données bancaires enregistrés sur le compte. Depuis la mi-mars, les données de plus de cent comptes piratés auraient été mises à disposition par le vendeur Courvoisier sur AlphaBay. Un autre vendeur, "ThinkingForward", assure à ses potentiels clients que les mots de passe et identifiants achetés sont valides. Mais jusqu'ici, rien ne permet d'estimer précisément l'ampleur de la fraude.
Des mots de passe communs à plusieurs sites
Interrogé par Motherboard, la startup valorisée près de 41 milliards de dollars a rétorqué "n'avoir trouvé aucune preuve de piratage", avant de prévenir les autorités de cette vente illégale de comptes. L'entreprise en a profité pour rappeler l'importance d'utiliser différents mots de passe pour protéger ses données sur Internet. Ainsi, l'un des usagers d'Uber dont le compte a été piraté a reconnu avoir le même mot de passe pour accéder à sa session Amazon. Les données revendues sur AlphaBay pourraient être celles de comptes comme eBay ou Amazon préalablement piratés et utilisées par leur propriétaire pour accéder à leur profil Uber.