To już kolejna wpadka Ubera z kategorii tych "grubego kalibru". Według doniesień pochodzących z serwisu Bloomberg, usługodawca rok temu (w październiku 2016 roku) został zaatakowany przez nieznaną grupę cyberprzestępców, w wyniku czego wykradziono dane 57 milionów kont. Uber zapłacił hakerom 100 000 dolarów za rok absolutnego milczenia w tej sprawie.
Jak wynika z doniesień, dane obejmowały imiona, nazwiska, adresy e-mail oraz wykorzystywane numery telefonów użytkowników z całego świata. Nie ma dowodów na to, że cyberprzestępcy dysponowali także danymi kart kredytowych wykorzystywanych w ramach Ubera. Co ciekawe, wielu wysokich rangą pracowników Ubera doskonale wiedziało o tej sytuacji, jednak dopiero teraz dowiadujemy się o szczegółach.
Oprócz danych klientów Ubera, okazuje się, że cyberprzestępcy uzyskali dostęp także do informacji o 7 milionach kierowców, w tym 600 000 w Stanach Zjednoczonych. Jak wynika z wewnętrznej komunikacji Ubera, mimo podjętej decyzji o zapłaceniu cyberprzestępcom za milczenie nie zapomniano o sprawie i monitorowano konta, których dane wykradziono. Uber nie był do końca pewien tego, czy cyberprzestępcy rzeczywiście usuną pozyskane przez siebie dane i co więcej - nikt nie był w stanie potwierdzić, jakie dokładnie informacje padły ich łupem.
Jak wynika z ustaleń mediów, atak nie był szczególnie skomplikowany. Nie dotyczył on bezpośredniego ataku na infrastrukturę Ubera - hakerzy zwyczajnie włamali się na konta dwóch inżynierów Ubera w usłudze... GitHub, gdzie następnie znaleźli informacje dotyczące logowania do zbiorników zawierających dane. O tym, że w ogóle doszło do ataku, Uber dowiedział się dopiero miesiąc później - cyberprzestępcy od razu, gdy tylko skontaktowali się z usługodawcą, zażądali pieniędzy. Firma przystała na warunki hakerów - 57 milionów kont wyceniono na zaledwie 100 000 dolarów okupu.
Płacenie okupu cyberprzestępcom to zawsze bardzo zły pomysł - nikt nie ma gwarancji, że hakerzy zachowają się honorowo i rzeczywiście, po otrzymaniu pieniędzy dotrzymają warunków układu. Uber jednak miał pewne powody, które mogły go skłonić do postąpienia w ten sposób. Jeżeli dobrze pamiętacie, usługodawca nie pierwszy raz okazuje się bohaterem głośnej afery wizerunkowej. Wykradzenie danych z usługi z pewnością nie pomogłoby firmie w sytuacji, gdy oskarża się ją o... szpiegowanie użytkowników. Co więcej, wskazywano również na molestowanie seksualne w Uberze oraz nieprawidłowości w trakcie wyliczania kosztów przejazdów. Gdyby do tego dołożyć jeszcze kradzież danych przez cyberprzestępców, mógłby się z tego zrobić potężny bałagan. Być może dlatego postanowiono zapłacić hakerom, by przynajmniej opóźnić wypłynięcie tej sprawy na światło dzienne. Spodziewam się, że raczej wszyscy pracownicy, którzy o sprawie wiedzieli zdawali sobie sprawę, że kłamstwo ma krótkie nogi i wyciek danych prędzej czy później będzie przedmiotem żywej dyskusji w mediach.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
