211service.com
Uber betalade hackare för att dölja massiva dataintrång
Getty
Uber har tagit många felvändningar de senaste åren. Men den senaste är säkerligen en av de mest skadliga. Bloomberg har avslöjat att företaget i mer än ett år dolt ett massivt dataintrång som avslöjade känsliga register över miljontals förare och kunder. Intrånget, som inträffade i oktober 2016, var enligt uppgift dolt av Ubers säkerhetschef, Joe Sullivan, och andra. Sullivan och en av hans ställföreträdare har avsatts av företaget. Travis Kalanick, företagets medgrundare och tidigare VD, blev medveten om intrånget inte långt efter att det inträffade.
I en pressmeddelande publicerad kort efter att Bloombergs berättelse dök upp, sa Ubers nuvarande vd, Dara Khosrowshahi, att hackare hade kunnat ladda ner filer som innehöll en betydande mängd information, inklusive namn och körkortsnummer på cirka 600 000 förare i USA, såväl som personlig information som namn, e-postadresser och mobiltelefonnummer till 57 miljoner Uber-användare runt om i världen. Företaget säger att externa kriminaltekniska experter som de kallade in för att analysera intrånget inte har sett några tecken på att kreditkortsnummer, bankkontouppgifter och personnummer har laddats ner. Men det stod inte att sådana detaljer inte hade brutits.
Precis som med tidigare mega-hack kommer mer detaljer att dyka upp under kommande dagar och veckor. Men det finns redan angelägna frågor som kräver snabba svar. Vem exakt inom Ubers personal visste om hacket efter att det inträffade, och hur många personer var aktivt inblandade i mörkläggningen, som innebar att betala hackarna 100 000 dollar för att radera data och hålla intrånget tyst? Fick någon i Ubers styrelse veta om intrånget då? Om inte, varför inte? Och varför misslyckades Uber med att snabbt informera tillsynsmyndigheter om hacket?
Relaterad berättelse
Relaterad berättelse Ett litet men växande antal cybersäkerhetsföretag introducerar garantiprogram som kan tjäna som försäkring mot kostnaden för ett potentiellt dataintrång.Bloombergs rapport säger att när intrånget inträffade pratade Uber redan med amerikanska tillsynsmyndigheter om separata integritetskränkningar och hade precis löst ett ärende med Federal Trade Commission angående felaktig hantering av konsumentdata. Den rapporterade också förra månaden att företagets styrelse hade inlett en utredning av Sullivans säkerhetsteams aktiviteter. Det var den externa advokatbyrån som ledde det arbetet som avslöjade hacket och mörkläggningen.
Intrånget väcker stora frågor om tillståndet för Ubers säkerhetspraxis. Enligt Bloomberg kunde inkräktarna hitta inloggningsuppgifter från Uber-ingenjörer på Github, ett flitigt använt kodlager. Dessa gav dem tillgång till en Amazon cloud computing-server som innehöll data. Det är ett häpnadsväckande brott mot säkerhetsgrunderna. Det är också häpnadsväckande att så stora mängder känsliga personuppgifter uppenbarligen förvarades på en tredjepartstjänst utan att vara krypterad.
Uber försöker nu begränsa skadan på sitt rykte. Företaget har anställt en tidigare chefsjurist för NSA för att hjälpa den att ompröva sina säkerhetspraxis och har också behållit Mandiant, ett cybersäkerhetsföretag som har hanterat följderna från många högprofilerade intrång. Khosrowshahi fick nyss veta om intrånget. Inget av detta borde ha hänt, sa han i frigivningen, och jag kommer inte att komma med ursäkter för det. Det är lika bra, eftersom beteendet och metoderna som ledde till detta fiasko är oförlåtliga.