Про злом Uber, про який не хотіли знати 57 мільйонів користувачів

Повідомляється, що чоловік, відповідальний за злом Uber, є 20-річним жителем Флориди

Лулу Чанг і Крістіан де Лупер 7 грудня 2017 року

Ще один день, ще одне масове порушення даних. Цього разу мішенню стала компанія Uber, але на відміну від інших зломів, компанії знадобилося більше року, щоб повідомити про злом своїм клієнтам.

Зараз з’являється все більше інформації про атаку, і Reuters повідомляє, що винуватцем став 20-річний чоловік з Флориди. Як повідомлялося раніше, цій людині заплатили за знищення доказів атаки за допомогою програми винагороди за виявлення помилок. Хоча винагороди за виявлення помилок зазвичай виплачуються людям, які виявляють невеликі вразливості в коді компанії, це, очевидно, було щось набагато більше і підступніше.

Керівник HackerOne зазначив, що передбачувана виплата в розмірі 100 000 доларів може бути “рекордом за всю історію”. Інші експерти з безпеки відзначили, що платити хакеру, який скоїв злочин, викравши дані, було б дуже незвично, особливо для програми винагороди за виправлення помилок, де комп’ютерним фахівцям зазвичай платять десь від 5 000 до 10 000 доларів США.

• Що насправді означає оновлення шифрування iCloud від Apple – і чому вас це повинно хвилювати
• Цей небезпечний хакерський інструмент зараз на волі, і наслідки можуть бути величезними
• Злом Uber – обурлива історія про хакерство підлітка заради розваги

Згідно з повідомленням в блозі компанії Uber, хакерам вдалося вкрасти персональні дані колосальних 57 мільйонів користувачів Uber в результаті витоку даних. Згідно з повідомленням Bloomberg, серед скомпрометованих – 7 мільйонів водіїв, з яких близько 600 000 були викрадені номери їхніх водійських посвідчень. Uber заявляє, що інформація не включала в себе такі речі, як номери соціального страхування або кредитні картки.

Однак Uber не тримав злом у таємниці, оскільки не знав про нього. У звіті Bloomberg зазначається, що колишній генеральний директор і співзасновник Uber Тревіс Каланік був попереджений про злом у листопаді 2016 року, лише через місяць після того, як стався злом. Додатковий звіт The Wall Street Journal також показав, що новий генеральний директор Uber Дара Хосровшахі був попереджений про злом на початку вересня, через два тижні після того, як він офіційно вступив на посаду керівника компанії. Як тільки він дізнався про злом, він, як кажуть, “негайно наказав провести розслідування, яке він хотів завершити до того, як зробити це питання публічним”.

На момент злому Uber вже вів переговори зі слідчими щодо окремих заяв про порушення конфіденційності – і все ще не повідомив про злом.

“Нічого цього не повинно було статися, і я не буду виправдовуватися за це. Хоча я не можу стерти минуле, я можу пообіцяти від імені кожного співробітника Uber, що ми будемо вчитися на наших помилках”, – сказав Хосровшахі, який вступив на посаду у вересні, в своєму блозі. “Ми змінюємо спосіб ведення бізнесу”.

Незважаючи на те, що Uber приховував злом протягом року, схоже, що компанія говорить правду, кажучи, що вона “змінює спосіб ведення бізнесу”. Bloomberg повідомляє, що компанія звільнила Джо Саллівана, свого головного офіцера з безпеки, і одного із заступників Саллівана за їхню роль у приховуванні витоку даних, що є принаймні першим кроком у зміні її способів роботи. У блозі Uber згадується, що “двоє осіб, які керували реагуванням на цей інцидент, більше не працюють в компанії”.

Це не перший масштабний витік даних у цьому році. На початку 2017 року було зламано агентство кредитної звітності Equifax, що потенційно поставило під загрозу інформацію про 143 мільйони жителів США. Сам злом відбувся десь між травнем і липнем, але про нього стало відомо у вересні.

Оновлення: Повідомляється, що хакер Uber – це 20-річний житель Флориди.

Рекомендації редакції

• Оновлення шифрування iCloud від Apple порадувало не всіх
• Google виплатить 392 мільйони доларів 40 штатам у справі про відстеження місцезнаходження
• Google хоче, щоб ви знали, що додатки для Android більше не тільки для телефонів
• Uber заявляє, що розслідує “інцидент з кібербезпекою
• Ось чому люди кажуть, що двофакторна автентифікація не ідеальна

Source: digitaltrends.com