211service.com
Uber maksāja hakeriem, lai slēptu milzīgus datu pārkāpumus
Getty
Uber pēdējos gados ir veicis daudz nepareizu pagriezienu. Bet jaunākais noteikti ir viens no kaitīgākajiem. Blumbergs ir atklājis ka uzņēmums vairāk nekā gadu slēpa milzīgu datu pārkāpumu, kas atklāja sensitīvus ierakstus par miljoniem autovadītāju un klientu. Tiek ziņots, ka pārkāpumu, kas notika 2016. gada oktobrī, slēpa Uber galvenais drošības darbinieks Džo Salivans un citi. Uzņēmums ir atcēlis Salivanu un vienu no viņa vietniekiem. Treviss Kalaniks, uzņēmuma līdzdibinātājs un bijušais izpilddirektors, tika informēts par pārkāpumu neilgi pēc tā notikuma.
Iekšā preses relīze publicēts neilgi pēc Bloomberg stāsta parādīšanās, Uber pašreizējā izpilddirektore Dara Khosrowshahi sacīja, ka hakeriem ir izdevies lejupielādēt failus, kas satur ievērojamu daudzumu informācijas, tostarp aptuveni 600 000 autovadītāju vārdus un autovadītāja apliecību numurus Amerikas Savienotajās Valstīs, kā arī personisko informāciju. piemēram, 57 miljonu Uber lietotāju vārdi, e-pasta adreses un mobilo tālruņu numuri visā pasaulē. Uzņēmums saka, ka ārējie tiesu medicīnas eksperti, kurus tā aicināja analizēt pārkāpumu, nav redzējuši nekādas norādes, ka būtu lejupielādēti kredītkaršu numuri, bankas konta informācija un sociālās apdrošināšanas numuri. Taču tajā nebija teikts, ka šādas detaļas nav pārkāptas.
Tāpat kā ar iepriekšējiem lieliem uzlauzumiem, tuvākajās dienās un nedēļās parādīsies sīkāka informācija. Taču jau tagad ir aktuāli jautājumi, uz kuriem nepieciešamas ātras atbildes. Kurš tieši no Uber darbiniekiem zināja par uzlaušanu pēc tā notikuma, un cik cilvēku bija aktīvi iesaistīti slēpšanā, kas ietvēra 100 000 USD samaksu hakeriem par datu dzēšanu un pārkāpuma klusēšanu? Vai kāds no Uber padomes locekļiem tajā laikā tika informēts par ielaušanos? Ja nē, kāpēc ne? Un kāpēc Uber nespēja ātri informēt regulatorus par uzlaušanu?
Saistīts stāsts
Saistīts stāsts Neliels, bet pieaugošs skaits kiberdrošības uzņēmumu ievieš garantijas programmas, kas var kalpot kā apdrošināšana pret iespējamiem datu pārkāpumiem.Bloomberg ziņojumā teikts, ka tad, kad notika pārkāpums, Uber jau runāja ar ASV regulatoriem par atsevišķiem privātuma pārkāpumiem un tikko bija nokārtojis lietu ar Federālo tirdzniecības komisiju par nepareizu patērētāju datu apstrādi. Pagājušajā mēnesī tā arī ziņoja, ka uzņēmuma valde ir sākusi izmeklēšanu par Salivana drošības komandas darbībām. Uzlaušanu un slēpšanu atklāja ārējais advokātu birojs, kas vadīja šos centienus.
Pārkāpums rada lielus jautājumus par Uber drošības prakses stāvokli. Saskaņā ar Bloomberg informāciju, iebrucēji varēja atrast pieteikšanās akreditācijas datus no Uber inženieriem Github, plaši izmantotā kodu krātuvē. Tie viņiem nodrošināja piekļuvi Amazon mākoņdatošanas serverim, kurā tika glabāti dati. Tas ir pārsteidzošs drošības pamatprincipu pārkāpums. Ir arī pārsteidzoši, ka tik liels sensitīvu personas datu apjoms acīmredzot tika glabāts trešās puses pakalpojumā bez šifrēšanas.
Uber tagad cenšas ierobežot kaitējumu savai reputācijai. Uzņēmums ir nolīgis bijušo NSA ģenerālpadomnieku, lai palīdzētu tai pārdomāt savu drošības praksi, kā arī ir saglabājis Mandiant, kiberdrošības firmu, kas ir risinājusi daudzu skaļu pārkāpumu sekas. Khosrowshahi tikai nesen uzzināja par pārkāpumu. Nekam no tā nevajadzēja notikt, viņš teica izlaidumā, un es tam neattaisnošos. Tas ir tikpat labi, jo uzvedība un prakse, kas noveda pie šī fiasko, ir nepiedodami.