Po niedawnych zmianach w zarządzie Ubera firma ujawniła, że w roku 2016 doszło do bardzo dużego wycieku danych jej klientów i kierowców, jednak na tym historia wycieku jeszcze się nie kończy.
Nowy prezes Ubera (poprzedni odszedł w atmosferze oskarżeń o niezbyt etyczne działanie firmy) ogłosił wczoraj, że w listopadzie 2016 w firmie doszło do kradzieży danych 57 milionów klientów i kierowców. Jego komunikat był jednak dość ogólny i omijał bardzo ciekawe wątki tego incydentu. Na szczęście dziennikarze amerykańskich mediów z lepszym dostępem do informacji ruszyli do boju i odkryli, że pod koniec 2016 w Uberze działy się rzeczy ciekawe. Ale po kolei.
Jak doszło do incydentu
Bloomberg, który jako pierwszy napisał o wpadce Ubera, informuje, że włamywacze najpierw uzyskali dostęp do prywatnego repozytorium GitHuba, z którego korzystali inżynierowie firmy. Tam odnaleźli dane uwierzytelniające do usługi AWS, gdzie z kolei odkryli archiwum danych klientów i kierowców. W tym archiwum znajdowały się imiona, nazwiska, adresy email i numery telefonów 50 milionów klientów oraz dane osobowe 7 milionów klientów, w tym także numery praw jazdy 600 000 amerykańskich współpracowników firmy. Wśród wykradzionych danych nie było (wg Ubera) informacji finansowych ani historii podróży użytkowników.
Jak próbowano ukryć kradzież danych
Włamywacze zgłosili się do Ubera po okup za nieujawnianie wykradzionych danych. Uber podobno zapłacił im 100 000 dolarów za milczenie i skasowanie wykradzionych informacji. Jak informuje z kolei The New York Times, Uber poszedł o krok dalej i wyśledził włamywaczy. Zmusił ich następnie do podpisania umów o zakazie ujawniania informacji a samą wypłatę okupu ukrył pod płaszczykiem nagrody w programie bug bounty. Ówczesny szef działu bezpieczeństwa Ubera, Joe Sullivan, który do firmy przeszedł z Facebooka, był odpowiedzialny za ukrycie faktu zaistnienia incydentu. Firma miała w tym spory interes – przed amerykańskimi organami regulacyjnymi kończyło się właśnie postępowanie dotyczące innego incydentu naruszenia prywatności użytkowników (tym razem z roku 2014) i ostatnim, czego potrzebował Uber, był nowy incydent.
Wg Bloomberga nowy prezes Ubera, który objął stanowisko we wrześniu, nie darzył zaufaniem szefa działu bezpieczeństwa i wynajął firmę prawniczą, by ta przeprowadziła analizę jego wcześniejszych działań. Przy okazji tej analizy ujawniono, że rok wcześniej doszło do wycieku danych a Joe Sullivan zajmował się jego ukryciem. Co ważne, firma miała obowiązek prawny powiadomić swoich współpracowników o tym, że ich dane zostały ujawnione (amerykańskie przepisy w tym zakresie są skomplikowane, bo istnieją zarówno na poziomie federalnym i stanowym, ale przynajmniej w Kaliforni taki obowiązek istniał). Sullivan musiał o tym wiedzieć – z wykształcenia był prawnikiem, pracował nawet jako stanowy prokurator zajmując się obszarem bezpieczeństwa informacji. Co ciekawe, podobno w Uberze, oprócz roli CISO, był także zastępcą dyrektora działu prawnego, by na podstawie tajemnicy adwokackiej móc korzystać z większej ochrony swojej korespondencji z pracownikami przed jej ujawnieniem w drodze postępowania sądowego. W wyniku śledztwa Sullivan został wraz ze swoim zastępcą zwolniony z pracy.
Podsumowanie
Sam incydent nie był niczym strasznym – takie rzeczy się zdarzają i to na dużo większą skalę. Nie doszło do spektakularnego przełamania zabezpieczeń sieci wewnętrznej, a jedynie do wycieku danych uwierzytelniających z zewnętrznych serwisów. Głównym problemem okazało się podejście Ubera, który zamiast zgodnie z przepisami o incydencie powiadomić, postanowił go ukryć, przy okazji płacąc włamywaczom i napędzając sektor wymuszeń okupu. Zachowanie to wpisuje się w obowiązującą jeszcze do niedawna w firmie kulturę ignorowania regulacji we wszystkich obszarach jej działalności i pokazuje, że czasem trudno pogodzić daleko posuniętą innowacyjność i burzenie skostniałego porządku rynkowego z etyką działania w innych obszarach.
Komentarze
Dostali się do Dev’sów, gdzie były dane produkcyjne i mamy uwierzyć, że dane kart kredytowych nie wyciekły? Pozostaje wierzyć, że nic dalej z tym nie zrobią…
W większości nikt nie chce się babrać z kartami i procesuje się zewnętrznie zapisując tylko tokeny – często taniej i dużo prościej.
Czy tylko ja jak widzę 100 000$ to mam wrażenie, że tam przynajmniej z jednego zera zabrakło? Po prostu wierzyć mi się w to nie chce i zastanawiam się co się tam na prawdę działo.
To kłamstwo, nie było żadnego wycieku.
To zakrojona na szeroką skalę akcja taksówkarzy z Warszawy, podobnie zresztą jak delegalizacja ubera w UK.
Ich macki sięgają daleko ! Zwłaszcza tych którzy mają w numerze telefonu 6 x 3
Dla mnie ta firma zupełnie kompromituje się swoimi akcjami. Powinni zakazać jej działalności lub powinna zbankrutować. Psują też rynek usług współdzielonych. Powinni Polacy stworzyć i wypromować lokalny zamiennik (najlepiej zdecentralizowany), bo zapotrzebowanie niewątpliwie jest ogromne na podobne usługi. A jak Polacy za wąscy w uszach, to może da radę jakoś przystosować chińskiego Ubera do rodzimego rynku xD Słyszałem, że działa on nad wyraz dobrze. Zresztą od lat korzystam już z chińskich i indyjskich zamienników YT, Sympatii, Twitcha, Twittera, GG i dysków internetowych :)
> od lat korzystam już z chińskich i
> indyjskich zamienników YT, Sympatii,
> Twitcha, Twittera, GG i dysków internetowych
A rzuciłbyś adresami? Im więcej, tym lepiej. I które najbardziej polecasz? Oczywiście można guglać, ale polecenie od użytkownika jest bardziej wiarygodne.
Zapłacono cyberkryminalistom i na koniec zrobiono z nich zamówionych pentesterów. Ogólnie zapłacono wszystkim, włącznie z prawnikami, karami, znajomkami, płatnymi k……, ale zapomniano o klientach. Po potwierdzeniu włamania (czyli byli świadomi, że dane poszły w p….) nawet na swojej własnej stronie śmiesznego newsa z listą pól, które wyciekły nie dali. Nowoczesne dno.