Cabify examine les affirmations selon lesquelles un acteur malveillant aurait obtenu une base de données contenant des informations détaillées sur des centaines de milliers de ses conducteurs. Un utilisateur connu sous le nom de Perro a publié des échantillons sur un forum en ligne et a proposé l’ensemble complet du jeu de données à la vente. Les exemples semblent inclure des noms complets, des adresses domiciliaires, des numéros de téléphone, des adresses e-mail et des identifiants liés à Facebook Account Kit. Les chercheurs ayant examiné le matériel affirment que la structure des données est cohérente avec les informations recueillies lors de l’embarquement du conducteur.
Cabify, dont le siège est à Madrid et opère à travers l’Espagne et l’Amérique latine, n’a pas confirmé si ses systèmes ou ceux d’un tiers ont été compromis. La société n’a pas non plus commenté la date d’obtention des données alléguées ni si elles concernent des conducteurs actuels ou anciens. Les analystes notent que les champs divulgués suggèrent que la source pourrait être un système d’enregistrement ou de vérification d’identité plutôt que des données de support courantes. L’intégration des conducteurs consiste généralement à recueillir des informations personnelles et de contact, ainsi que des identifiants de réseaux sociaux ou de plateformes utilisés pour l’authentification.
La nature des données exposées suscite des inquiétudes car les dossiers contiennent plusieurs informations personnelles pouvant être combinées pour se faire passer pour des conducteurs ou les cibler avec des messages frauduleux. Les adresses, numéros de téléphone et informations e-mail peuvent être utilisés pour l’ingénierie sociale. Les identifiants sur les réseaux sociaux pourraient permettre aux criminels de lier des comptes en ligne à des profils réels, augmentant ainsi la crédibilité des arnaques ciblées. Les spécialistes de la sécurité affirment que des ensembles de données de cette taille sont attrayants pour les acteurs malveillants car ils offrent de larges opportunités d’attaques basées sur l’identité.
Les considérations réglementaires entrent également en jeu. Si les données sont prouvées authentiques et proviennent des systèmes de Cabify, l’entreprise sera tenue d’évaluer les obligations de notification au regard du droit européen de la vie privée. Le Règlement général sur la protection des données exige que les organisations informent les régulateurs et les personnes concernées lorsque des informations exposées comportent un risque de préjudice. Les informations personnelles telles que les adresses résidentielles et les coordonnées sont considérées comme sensibles lorsqu’elles sont liées à une personne identifiable. Les entreprises opérant dans plusieurs régions doivent également coordonner avec les autorités régionales si les données concernent des conducteurs hors de l’Union européenne.
L’incident met en lumière les défis de cybersécurité auxquels sont confrontées les plateformes de mobilité qui gèrent de grands volumes d’informations identitaires. Les systèmes d’enregistrement des conducteurs gèrent les pièces d’identité délivrées par le gouvernement, les documents de contrôle des antécédents et les coordonnées détaillées qui peuvent rester précieuses pour les criminels bien après leur collecte. Ces plateformes n’offrent pas toujours le même niveau d’investissement en matière de sécurité que les institutions financières, malgré le fait qu’ils détiennent des données tout aussi sensibles. Les analystes affirment que les enregistrements d’intégration fuités continuent souvent de circuler sur des forums clandestins même après les ventes initiales, ce qui conduit à une exposition à long terme pour les personnes concernées.
Cabify n’a pas fourni de calendrier pour son examen interne. Les chercheurs en sécurité recommandent aux conducteurs ayant partagé des informations avec l’entreprise de rester vigilants face aux messages demandant des données personnelles, aux demandes de vérification inattendues ou aux modifications des détails du compte. Ils conseillent également de surveiller les comptes financiers et d’identité pour détecter des activités inhabituelles pendant que l’entreprise enquête sur la réclamation.