En novembre 2017, la société UBER a révélé dans la presse qu’un an auparavant, deux individus avaient dérobé les données personnelles de 57 millions d’utilisateurs de ses services.
A la suite de cette révélation, le G29 (Groupe des CNIL européennes) a créé un groupe de travail dans le but de coordonner les procédures d’investigation de différentes autorités de protection des données.
L’enquête a mis en lumière les différentes étapes de l’attaque. Les attaquants ont tout d’abord réussi à accéder à des identifiants stockés en clair sur la plateforme collaborative de développement « Github ». Ils ont ensuite utilisé ces identifiants pour accéder à distance à un serveur sur lequel sont stockées les données. Ils y ont téléchargé des informations relatives à 57 millions d’utilisateurs, dont 1,4 millions situés sur le territoire français.
La formation restreinte de la CNIL a estimé cette attaque n’aurait pu aboutir si certaines mesures élémentaires en matière de sécurité avaient été mises en place.