Стали известны масштабы ущерба от самого масштабного похищения аккаунтов клиентов и водителей крупнейшего агрегатора такси — Uber. По данным Лайфа, почти полмиллиона граждан США подали иски в суд, требуя возместить им $250 млн. Утечка данных произошла год назад, но Uber это скрывал.
Среди пострадавших могут быть водители и пассажиры из России — Лайф нашёл в соцсетях десятки жалоб от русскоязычных клиентов на угон аккаунтов, которые пришлись как раз на этот период.
Юристы призывают и российских клиентов Uber не стесняться обращаться в компанию и в суд, если их аккаунты были взломаны.
21 ноября в блоге Uber появилось сообщение исполнительного директора Дары Хосровшахи. Он признался: ещё в октябре 2016 года данные 57 миллионов клиентов были скомпрометированы. Двое хакеров получили доступ к облачному хранилищу Uber на сторонних серверах. Проблема коснулась аккаунтов по всему миру.
Компания узнала об этом сразу, но, как пишут западные СМИ, заплатила хакерам выкуп, чтобы те уничтожили похищенные данные, и скрыла инцидент. Согласно данным американских судов, взломщики получили доступ к номерам страховки, кредитным картам и паролям. В Uber утверждают, что хакеры добрались только до имён и номеров водительских удостоверений.
Лайф выяснил, откуда могла прийти информация об утечке и что заставило «Убер» опубликовать признание.
© REUTERS/Robert Galbraith
В Центральном окружном суде Калифорнии 20 ноября был зарегистрирован иск от некоего Алехандро Флореса к компании Rasier. Это — «дочка» Uber.
В своём иске мистер Флорес писал, что он долгое время работал в Лос-Анджелесе водителем Uber, однако из-за массовой утечки данных в октябре 2016 года его платёжная информация, как и его коллег, была скомпрометирована. Коллективный иск подала калифорнийская юридическая фирма Wilshire Law Firm.
По данным Лайфа, юристы начали копать под Uber ещё в апреле этого года, когда к ним обратилась группа калифорнийских таксистов. Они передали адвокатам различные свидетельства, в том числе и касающиеся финансовых операций в аккаунтах.
Судя по всему, Uber узнал об иске от 20 ноября и решил действовать на опережение. И публично признался в утечке на следующий день, 21 ноября, — ведь сведения из судов и так попали бы в прессу.
Вслед за первым коллективным иском посыпались остальные. Спустя три дня после того, как Uber признался в утечке, американские граждане подали уже девять исков по этому поводу, в том числе коллективных.
Свои права считают нарушенными как клиенты, так и бывшие водители компании.
В некоторых штатах на защиту клиентов уже встали государственные органы: прокурор Чикаго тоже написал коллективный иск в суд от имени местных клиентов и водителей Uber.
Из документов, оказавшихся в распоряжении Лайфа, следует, что совокупный ущерб от утечки уже оценивают в $250 млн. Всего более 500 тысяч человек могут стать истцами по этим искам.
© flickr/Robert Gillings
В российском представительстве Uber не знают, сколько именно российских клиентов пострадало от утечки, и говорят, что работают с властями по этому вопросу. А до завершения «обсуждения» подробности разглашать не готовы.
— По вопросу о российских пользователях: в настоящий момент у нас нет дополнительной информации о России, которой мы могли бы поделиться, — сообщила Лайфу пресс-секретарь Uber Ирина Гущина.
— В разных странах мы находимся в процессе информирования регулирующих и иных государственных органов, ожидаем проведения ряда обсуждений с ними.
До завершения этого процесса мы не можем предоставить более детальную информацию.
Из ответа Гущиной следует, что Uber ещё в октябре 2016 года получал оповещение о массовой утечке.
— Сразу в момент инцидента мы предприняли меры по сохранению безопасности данных и закрыли доступ к ним для неавторизованных лиц. В дальнейшем мы их идентифицировали и убедились, что скачанные данные были уничтожены, — сообщили в пресс-службе Uber. — Кроме того, отметим, что Uber всегда компенсирует стоимость поездок, которые не были заказаны или совершены пользователем.
© REUTERS/Shannon Stapleton
Отечественные клиенты с 2016-го начали жаловаться, что их аккаунты взламывают и за их счёт катаются на такси в США, Канаде и даже в Австралии.
— Взломали Uber-аккаунт три дня назад, потерял 6к. [Техподдержка] отмалчивается, — негодует москвич Леонид Орлов в «Твиттере».
— Убер списал почти 500 руб. за как бы поездку. Аккаунт взломали. Сначала пришла СМС о том, что данные обновлены, а потом сняли деньги, — жалуется пользователь malabar.
В своём «Фейсбуке» фотограф Александр Сапрыкин 5 июля рассказывает, как чуть не прокатил за свой счёт кого-то в Австралии, потому что его карту привязали к чужому аккаунту.
А в конце декабря 2016-го, через месяц после утечки, москвичка Доротея Григорян пожаловалась, что с помощью её адреса электронной почты кто-то каждый день ездил по Брайтону (Великобритания).
Лайф побеседовал с бывшим сотрудником российского Uber. По его словам, в компании существует система мгновенного обмена сообщениями. И если в одном подразделении случится форс-мажор, как правило, о нём уведомляют все остальные офисы.
— Однажды было, что мне ночью оповещения приходили, когда в Индии был простой сбой приложения, — делится собеседник.
Руководитель общества по защите прав потребителей «Потребнадзор» Александр Виноградов призывает и российских клиентов сервиса не стесняться отстаивать свои права, если их данные тоже украли.
— Надо писать — сначала в техподдержку Uber. Если они увидят, что у них, к примеру, набралось тысяч десять жалоб, они начнут что-то предпринимать. Скажем, предложат компенсацию или промокоды.
Если этого не произошло, надо идти в суды, — говорит Виноградов. — Требовать компенсацию морального вреда.
О таких больших суммах, как в США, речи не идёт, но, полагаю, для одного клиента справедливым будет требование в три тысячи рублей.
Зарубежные СМИ, в свою очередь, уверены в том, что за бедами клиентов Uber стоят «страшные русские хакеры».
The Times изучила посты британцев в соцсетях: они писали, что после взлома их аккаунтами стали пользоваться на территории России.
Нашлось около 800 сообщений, где люди жалуются, что по их аккаунтам кто-то катается в Санкт-Петербурге и Москве. Поэтому газета предположила, что и к этой масштабной утечке причастны русскоязычные взломщики.
В российском подразделении Uber так не считают.
— Случаи, о которых идёт речь в материале The Times, не имеют отношения к утечке данных пользователей в прошлом году, — сообщила Лайфу представитель Uber в РФ Ирина Гущина. — По нашим сведениям, хакеры, виновные в ситуации в Великобритании, не россияне.
Однако у Лайфа есть свидетельства того, что российские хакеры всё же причастны к взломам агрегатора. И даже зарабатывают на них.
Как минимум с лета в мессенджере Telegram появились боты с говорящими названиями, которые предлагают широкий выбор различной халявы.
Например, воспользоваться сервисом по заказу такси Gett или Uber по тарифам, которые значительно ниже, чем в официальном приложении. Делается это с помощью кардинга — похищения данных кредиток.
Хакеры украли данные 57 млн пользователей Uber. Компания заплатила $100 тысяч, чтобы скрыть это
Credit: iStock
Злоумышленники проникли в информационную систему компании Uber Technologies и украли персональные данные 57 млн пассажиров и водителей. Компания скрывала информацию о взломе больше года, сообщает агентство Bloomberg со ссылкой на заявление компании.
На этой неделе сервис по заказу машин уволил руководителя службы безопасности, а также одного из его заместителей за попытки держать факт взлома в тайне: бывшие работники компании даже заплатили злоумышленникам $100 тысяч, чтобы хакеры не разглашали информацию об атаке. Главный прокурор штата Нью-Йорк начал расследование из-за взлома. А на компанию уже подали иск из-за халатности в отношении данных клиентов.
В октябре 2016 года хакеры украли данные об именах, электронных адресах и мобильных телефонах 50 млн клиентов сервиса по всему миру.
Злоумышленники также заполучили персональные данные около 7 млн водителей, в том числе около 600 тысяч номеров водительских удостоверений жителей США.
В компании уверяют, что хакерам не удалось проникнуть к информации с номерами социального страхования, данным кредитных карт и информации о поездках.
Два хакера взломали сайт, которым пользовались программисты Uber, и воспользовались учетными данными разработчиков компании, чтобы проникнуть к учетной записи Amazon Web Services, где обрабатывались вычислительные задачи. Там злоумышленники обнаружили архив с информацией о водителях и пассажирах. Затем они потребовали от Uber деньги.
Дара Хосрофшахи
глава Uber
«Ничего из этого не должно было случиться. И я не буду искать отговорки для этого. Мы меняем способ ведения бизнеса.
… Во время инцидента мы немедленно выполнили действия, чтобы обезопасить данные и закрыть возможность несанкционированного доступа.
Мы также внедрили меры безопасности по ограничению доступа и усилению контроля над нашими учетными данными в облаке. Хотя я не могу стереть прошлое, я могу поручиться от имени каждого сотрудника Uber, что мы будем учиться на наших ошибках».
Осенью прошлого года Uber вел переговоры с американскими регуляторами в рамках расследования отдельных претензий о нарушении конфиденциальности.
Компания должна была сообщить регуляторам о взломе, а также оповестить водителей, которых затронула хакерская атака. Вместо этого сервис заплатил злоумышленникам, чтобы те удалили данные и не распространяли информацию об атаке.
В Uber заявили, что скомпрометированная информация нигде не использовалась. Кроме того, в компании отказались раскрыть имена злоумышленников.
Трэвис Каланик, занимавший тогда пост генерального директора Uber, узнал об атаке лишь спустя месяц. В ноябре прошлого года компания завершила разбирательство с властями США по вопросу защищенности данных пользователей, а также вела переговоры с Федеральной комиссией по торговле (FTC) об обработке данных клиентов.
Читать также
Дара Хосрофшахи: что мы знаем о новом главе Uber
Халатное отношение к пользователям: как личные данные клиентов Uber оказались у хакеров | Телеканал 360°
Киберпреступники украли данные 57 миллионов клиентов и водителей Uber со всего мира. В ходе атаки злоумышленники получили доступ к личным данным не только клиентов, но и водителей.
Компания заплатила 100 тысяч долларов хакерам за молчание.
«360» разбирался, как свободно пользоваться приложениями для заказа такси или доставки еды без ущерба для собственного кошелька и персональных данных.
Хакеры получили доступ к личным данным порядка 57 миллионов пассажиров и водителей одноименного мобильного приложения для вызова такси. Инцидент произошел еще в октябре 2016 года. О произошедшем сообщило агентство Bloomberg со ссылкой на источники в компании, в Uber подтвердили эту информацию.
В руках злоумышленников оказались электронные адреса и номера мобильных телефонов 50 миллионов пассажиров по всему миру, а также данные о семи миллионах таксистах. В Uber заверяют, что информация о кредитных картах и маршрутах поездок к хакерам не попала. При этом злоумышленникам удалось получить номера удостоверений 600 тысяч водителей из США.
Примечательно, что киберпреступники не стали вкладывать информацию в Сеть, а сразу начали шантажировать руководство Uber.
Не желая распространения скандала, который мог бы нанести существенный ущерб престижу компании, американский концерн заплатил 100 тысяч долларов хакерам за неразглашение информации о взломе.
Комментируя инцидент, глава Uber Дара Хосровшахи рассказал, что сервис не будет искать оправданий и в ближайшее время собирается «изменить способ ведения бизнеса».
Схема взлома оказалась несложной: сначала злоумышленники получили доступ к частному сайту кодирования GitHub, где хранились пароли к учетной записи Amazon Web Services, которая отвечает за обработку вычислительных задач для компании. Оттуда хакеры и похитили архив личных данных водителей и клиентов.
Скорее всего, программисты Uber нарушили требования безопасности, что и привело к тому, что данные сотен клиентов попали в руки мошенникам, рассказал в беседе с «360» генеральный директор Zecurion Алексей Раевский.
Хакеры украли персональную информацию о клиентах, проникнув в облачные хранилища, где были эти данные. Получить пароль для входа в облако они смогли с помощью доступа к исходным текстам, в которых эти пароли были прописаны. Программисты сами допустили ошибку, поскольку хранили все пароли от системы в одном месте
— Алексей Раевский.
Такие атаки довольно сложны, поскольку являются многоуровневыми, а подготовка к ним и сама атака могут длиться в течение нескольких месяцев, рассказал «360» эксперт по информационной безопасности компании «Монитор Безопасности» Тарас Татаринов.
«Сейчас существует два основных направления монетизации преступлений киберзлоумышленников — это прямая кража денег и шантаж тех компаний, которые не хотят, чтобы общественность узнала о их несовершенной системе безопасности.
Именно высокая прибыль за взлом подстегивает хакеров красть не только финансовую информацию пользователей, но и их персональные данные», — отметил собеседник «360».
Хакеры атакуют
С начала 2017 года от рук хакеров пострадали около шести миллиардов пользователей по всему миру, свидетельствуют результаты исследования американского аналитического агентства Risk Based Security. Аналитики компании подсчитали, что более 93% данных, пострадавших от уязвимости системы защиты, пришлось на корпоративный сектор, в то время как правительственные данные составили 3%.
Чаще всего для кражи персональной информации кибермошенники использовали такие технологические приемы, как скимминг, фишинг и преднамеренный запуск вирусов-похитителей. При этом зачастую в руки преступников попадали не номера их банковских счетов, а личная информация о пользователе (40%), электронные (33%) и физические (30%) адреса, а также пароли от соцсетей и различных приложений (28%).
Абсолютными лидерами по числу успешных взломов стали США — там произошло свыше 1,3 тысячи утечек, в Британии всего 104, а замыкает список Канада, где хакеры провели всего 59 удачных атак.
Россия не входит в топ-10 рейтинга самых «лакомых» стран для хакеров, поскольку россияне пока не особо активно пользуются различными приложениями, однако число киберпреступлений растет быстрыми темпам, отмечает Тарас Татаринов.
Чтобы не стать жертвой хакерской атаки, необходимо внимательно относиться к своим персональным данным. К примеру, если пользователь скачал приложение для координации кормления рыбок, то не стоит давать ему доступ о своей геолокации или камере. Нужно руководствоваться принципом минимального ввода данных и не передавать свою персональную информацию сомнительным сервисам и приложениям
— Тарас Татаринов.
Чем больше мест, где хранятся ваши данные, тем больше риск того, что они попадут в руки к хакерам, добавляет Алексей Раевский. Когда вы передаете свои данные какому-либо провайдеру или банку, то эта организация обязуется защищать эту информацию от взлома.
«Но на практике эти компании уделяют внимание только сохранности ваших финансовых данных, таких, как номера кредитных крат или счетов, а персональная информация о пользователе остается вне поля зрения системы безопасности, чем и пользуются хакеры», — предупреждает эксперт.
Хакеры украли данные 57 миллионов пользователей Uber
В Uber объявили о краже спустя год. thejakartapost.com
Хакеры похитили личные данные 57 миллионов клиентов и водителей Uber. Компания скрывала этот инцидент более года и заплатила хакерам $100 000 за молчание.
В октябре 2016 года злоумышленники заполучили имена, адреса электронной почты и номера телефонов 50 миллионов пассажиров. Также они украли информацию о 7 миллионах водителей, в том числе около 600 000 номеров водительских удостоверений. Тем не менее, хакеры не добрались до номеров социального страхования, данных кредитных карт и информации о поездках.
Когда в Uber узнали о взломе, руководство компании решило не сообщать о происшествии властям и пользователям. Вместо этого они заплатили $100 000 за то, чтобы хакеры удалили данные и не распространяли информацию о случившемся.
“Этого не должно было случиться, и я никак не буду это оправдывать. Сейчас мы меняем правила ведения бизнеса”, – заявил новый глава Uber Дара Хосроушахи.
После признания Uber генеральный прокурор Нью-Йорка Эрик Шнайдерман начал расследование по поводу взлома. Компании также предъявили иск за небрежность.
«Во время инцидента мы предприняли немедленные шаги по обеспечению безопасности данных и прекращению дальнейшего несанкционированного доступа – сказал Хосроушахи. – Мы также ограничили доступ и усилили контроль над нашими облачными учетными записями».
В последние годы хакеры успешно проникали в известные компании. В этом году крупнейшее бюро кредитных историй Equifax объявило о краже данных 143 миллионов клиентов. Компания обнародовала информацию о взломе через несколько месяцев после происшествия.
Это первый громкий скандал с Uber после увольнения его сооснователя Трэвиса Каланика. Ранее компанию критиковали за слежку за пассажирами, кражу технологии беспилотных автомобилей, а ее сотрудников обвиняли в сексуальных домогательствах и изнасилованиях.
В 2016 году uber взломали, пострадали 57 млн пользователей, но компания заплатила хакерам и скрыла инцидент
Рекомендуем почитать: 
- Содержание выпуска
- Подписка на «Хакер»
Представители Uber выпустили официальное заявление, согласно которому компанию взломали еще в октябре 2016 года. Как оказалось, тогда в руки злоумышленников попали данные 50 млн пассажиров и 7 млн водителей со всего мира. На сторону «утекли» имена, email-адреса, номера мобильных телефонов, а также номера водительских удостоверений (сообщается, что взломщики успели скачать информацию о 600 000 американских водителях). Представители Uber подчеркивают, что инцидент не затронул даты рождения, номера банковских карт и счетов, номера социального страхования, а так же маршруты поездок.
В отдельном послании, написанном CEO сервиса, Дара Хосровшахи (Dara Khosrowshahi), сообщается, что взлому подвергся сторонний облачный сервис, с которым работает Uber, и компрометацию осуществили два неназванных злоумышленника. Хосровшахи пишет, что внутренние системы и инфраструктура самого Uber не пострадали.
Журналисты издания Bloomberg, первым сообщившие о происходящем, приводят чуть больше подробностей. По данным издания, атакующие проникли в приватный репозиторий GitHub, которым пользовались инженеры Uber, где обнаружили учетные данные от аккаунта Amazon Web Services. В облаке злоумышленники и нашли множество конфиденциальных данных пассажиров и водителей сервиса.
Также, по данным Bloomberg, после взлома преступники потребовали от Uber выкуп, и компания попыталась купить молчание злоумышленников, выплатив им $100 000. По информации издания The New York Times, Uber удалось установить личности злоумышленников, но их заставили подписать соглашение о неразглашении информации, а выкуп был замаскирован под вознаграждение по программе bug bounty.
«Вы можете спросить, почему мы заговорили о случившемся только сейчас, год спустя. У меня возник тот же вопрос, поэтому я немедленно распорядился провести расследование инцидента и нашей реакции на него», — пишет Хосровшахи в официальном блоге, и объясняет, что он сам узнал о случившемся только на этой неделе.
Согласно сообщению Хосровшахи, Uber уже уволил двух сотрудников, отвечавших за безопасность. По данным Bloomberg, один из лишившихся должности специалистов — это руководитель службы безопасности компании, Джо Салливан (Joe Sullivan).
«Все это не должно было произойти, и я не стану искать оправдания случившемуся. Хотя я не могу стереть прошлое, от лица всех сотрудников Uber я могу заверить, что мы учимся на своих ошибках.
Мы меняем наши подходы к ведению бизнеса, в сердце каждого принятого нами решения лежит верность принципам, и мы усердно работаем над тем, чтобы заслужить доверие наших клиентов», — резюмирует Хосровшахи.
Хакеры взломали системы Uber и украли данные 57 млн клиентов и водителей
Хакеры в 2016 году взломали системы Uber и похитили данные 57 млн клиентов и водителей службы такси. Компания знала, но скрывала это от общественности.
По сообщению Bloomberg, системы Uber в 2016 году подверглись мощной хакерской атаке. В итоге у киберпреступников оказались личные данные 57 млн клиентов и водителей службы онлайн-такси.
В компании объяснили агентству, что систему взломали в октябре 2016 года. Тогда хакеры украли имена, адреса электронной почты и номера телефонов 50 млн пассажиров Uber по всему миру, а также личную информацию о 7 млн водителей.
Так, злоумышленники получили 600 тыс. номеров водительских удостоверений водителей из США. Представители службы такси заверили, что номера социального страхования, данные кредитных карт и другие данные хакерская атака не затронула.
Сама кибератака проходила следующим образом: сначала два злоумышленника получили доступ к веб-сервису для хостинга IT-проектов и их совместной разработки GitHub, который используют программисты Uber.
Потом благодаря полученным учетным данным сотрудников компании получили доступ к информации, которая хранится в Amazon Web Services. Последний обрабатывал вычислительные задачи Uber. Там взломщики обнаружили архив с информацией о клиентах и водителях.
Далее, отмечает Bloomberg, они направили письмо в Uber с требованием денежного выкупа.
По данным агентства, бывший исполнительный директор Uber Трэвис Каланик, который в июне уволился из компании на фоне скандала, узнал о кибератаке спустя месяц после того, как она произошла, но не придал информацию огласке.
Вместо того чтобы сообщить о взломе регуляторам, компания заплатила хакерам порядка 100 тыс. долларов США взамен на удаление всех полученных данных и на неразглашение о случившемся. Сам Каланик отказался от комментариев Bloomberg.
Во время инцидента Uber вела переговоры с американскими государственными регуляторами, которые в тот момент расследовали отдельные претензии к компании о нарушении конфиденциальности. Таксомоторная компания, указывает агентство, теперь имеет юридическое обязательство сообщать о взломах властям и водителям, чьи данные могли попасть в руки злоумышленников.
Новый генеральный директор Uber Дара Хосровшахи опубликовал во вторник, 21 ноября, официальное заявление по поводу этого инцидента.
Он написал: «Недавно я узнал, что в конце 2016 года нам стало известно, что два человека вне компании неправильно работали с пользовательскими данными, размещенными на стороннем облачном хранилище, которое мы используем. Этот инцидент не нарушил наши корпоративные системы или инфраструктуру».
По словам руководителя американской компании, эксперты Uber не выявили случаев загрузки сторонними людьми истории поездок, данных кредитных карт и банковских счетов, номеров социального страхования или даты рождения. Хосровшахи признал, что в руках хакеров оказались данные водительских прав порядка 600 тыс. водителей из США, а также некоторая личная информация 57 млн пассажиров и водителей компании по всему миру.
«Во время инцидента мы предприняли немедленные шаги по обеспечению данных и прекращению дальнейшего несанкционированного доступа отдельных лиц к ним. Затем мы идентифицировали этих людей (хакеров) и получили от них заверения о том, что загруженные данные были уничтожены», — подчеркнул гендиректор Uber.
Отвечая на вопрос, почему компания решила открыть для общественности факт случившегося, Дара Хосровшахи указал, что специалисты Uber проводили долгое расследование кибератаки и действий предыдущего руководства. Он сказал, что после этого направил всю имеющуюся информацию о взломе госрегулятору, а также поручил связаться с водителями, чьи данные были похищены.
Uber заплатила хакерам $100 тысяч за сокрытие кражи данных 57 млн пользователей и водителей — Транспорт на vc.ru
Инцидент произошёл в октябре 2016 года, но компания решила умолчать о случившемся.
{«id»:29492,»gtm»:null}
Uber Technologies больше года скрывала факт хакерской атаки, в результате которой были похищены личные данные 50 млн пассажиров и 7 млн водителей сервиса. Чтобы предотвратить дальнейшую утечку, компания заплатила злоумышленникам $100 тысяч, передаёт Bloomberg.
Хакеры заполучили имена, адреса электронной почты и номера телефонов пассажиров и водителей. Кроме того, они похитили номера водительских прав 600 тысяч водителей из США. В Uber отметили, что злоумышленникам не удалось получить данные привязанных банковских карт, номера социального страхования и историю поездок. По данным компании, украденные данные никто так и не использовал.
Инцидент произошёл в октябре 2016 года, когда Uber вела переговоры с американскими государственными регуляторами, которые в тот момент расследовали отдельные претензии к компании о нарушении конфиденциальности.
Сначала два хакера получили доступ к репозиторию Uber на GitHub. Затем злоумышленники с помощью учётных данных сотрудников компании вошли в Amazon Web Services, который Uber использовала для обработки вычислительных задач. В хранилище хакеры обнаружили архив с информацией о пассажирах и водителях. После этого они направили в Uber письмо с требованием денежного выкупа, пишет Bloomberg.
По данным агентства, в компании согласились заплатить при условии удаления полученных данных и неразглашении информации о случившемся. Трэвис Каланик, занимавший на тот момент пост гендиректора Uber, узнал об инциденте через месяц, в ноябре 2016 года. Однако он также не обнародовал эту информацию и не обратился в правоохранительные органы. Каланик отказался отвечать на вопросы журналистов.
Нынешний глава Uber Дара Хосровшахи заявил, что узнал об инциденте недавно и что «ничего этого не должно было случиться». Он подчеркнул, что компания обязана сообщать об утечках властям и пользователям, чьи данные могли получить мошенники. Uber пообещала выпустить отдельное заявление для клиентов по итогам расследования.
Ответственными за решение скрыть факт взлома кражи данных в компании назвали главу службы безопасности Uber Джо Салливана и одного из его заместителей. Они были уволены по решению Хосровшахи.
Гендиректор компании нанял Мэтта Олсена, бывшего генерального консультанта Агентства национальной безопасности США и директора Национального центра по борьбе с терроризмом.
Он поможет перестроить работу отдела безопасности Uber.
После огласки расследованием инцидента также занялась генеральная прокуратура Нью-Йорка.
{«contentId»:29492,»count»:0,»isReposted»:false,»gtm»:null}
{«id»:29492,»gtm»:null}
Uber скрывала утечку данных 57 млн человек и заплатила хакерам
Компания Uber 22 ноября призналась, что более года назад с ее серверов были похищены данные 50 млн клиентов и 7 млн таксистов по всему миру. Об этом пишет агентство Bloomberg.
Представители Uber сообщили, что инцидент, случившийся осенью 2016 г., затронул электронные адреса и номера телефонов 57 млн человек. Также утекла информация о порядка 600 тыс. водительских удостоверениях. Такие чувствительные сведения, как номера социального страхования, данные кредитных карт, информация о поездках, похищены не были.
В нарушение правил оповещения об инцидентах информационной безопасности, Uber вовремя не уведомила регуляторов и пострадавших людей, а предпочла вести переговоры с хакерами. Известно, что злоумышленникам было выплачено $100 тыс. в обмен на неразглашение украденной информации. Имена похитителей в Uber называть отказываются.
«Этого не должно было случиться, и я не буду оправдываться за это. Мы меняем способ ведения бизнеса», — заявил журналистам Bloomberg новый глава Uber Дара Хосроушахи (Dara Khosrowshahi), пообещав, что допущенные ошибки станут для компании уроком. Первые важные шаги уже сделаны — на днях в отставку были отправлены главный офицер безопасности и старший юрист компании.
Хосроушахи был назначен на свой пост в сентябре 2017 г. вместо одного из основателей компании Трэвиса Каланика (Travis Kalanick), смещенного летом под давлением акционеров, которые были недовольны тем, что Uber оказался втянут в ряд скандалов. Каланик отказался комментировать сообщение об утечке.
Механизм взлома ресурсов Uber был таков: вначале двое злоумышленников получили доступ к репозиторию на сайте GitHub, который предназначался для ведения проектов разработчиками.
Добытые там учетные данные хакеры использовали для входа в аккаунт Uber на облачной платформе Amazon Web Services, где обрабатывались информационные массивы компании. Оттуда и была украдена база данных.
Затем хакеры отправили в Uber письмо с требованием о выкупе.
Известно, что прокуратура Нью-Йорка начала собственное расследование инцидента. Кроме того, несколько клиентов уже подали коллективный иск против Uber, обвинив ее в халатном обращении с данными.
Это не первый громкий инцидент в истории компании. В мае 2014 г. она допустила потерю информации более 50 тыс. водителей, но уведомила о нарушении только в феврале 2015 г. В январе 2016 г. Uber по требованию прокуратуры согласилась выплатить штраф в размере $20 тыс. и обещала ввести более строгий контроль над операциями с данными клиентов и таксистов.
За более чем 8 лет работы на рынке Uber снискала дурную славу нарушителя в разных сферах. Так, компанию подозревали в даче взяток чиновникам разных стран в обмен на преференции по ведению бизнеса и обвиняли в использовании ПО для слежки за клиентами и конкурентами.
ИБ-директор Uber заплатил хакерам за неразглашение утечки данных 57 млн пассажиров и водителей
22.11.2017
Вернуться к списку новостей
Злоумышленники похитили персональные данные 57 млн клиентов и водителей Uber. В компании скрывали инцидент больше года. После огласки компанию покинули директор по информационной безопасности Uber Джо Салливан и один из его заместителей, которые держали в секрете и сам факт взлома, и плату хакерам за молчание в размере 100 тысяч долларов, сообщает агентство Bloomberg.
Данные, скомпрометированные в октябре 2016 года, включали имена, адреса электронной почты и телефонные номера 50 млн пользователей сервиса по всему миру.
В распоряжении хакеров оказалась также личная информация 7 млн водителей, в том числе около 600 тысяч номеров водительских удостоверений, выданных в США.
В Uber заявили, что номера социального страхования, данные кредитных карт и маршруты поездок, равно как и другие пользовательские данные не пострадали.
В то время, когда произошел взлом, Uber находился в центре расследования американского регулятора по другому делу о нарушении конфиденциальности данных.
Теперь в компании говорят, что были обязаны сообщить о взломе регулятору и водителям, чьи данные пострадали. Вместо этого компания заплатила, чтобы хакеры удалили украденные данные и сохранили инцидент в тайне.
В Uber уверены, что информация никогда не использовалась для противоправных действий, но отказываются раскрыть личности хакеров.
Компания планирует выпустить официальное заявление для клиентов, где говорится, что «нет доказательств мошенничества или неправомерного использования данных, связанных с инцидентом». Uber собирается также предложить водителям, чьи данные пострадали, бесплатный мониторинг и защиту от «кражи личности».
После того, как Uber признался в атаке годичной давности, генеральная прокуратура Нью-Йорка начала расследование хакерского взлома. Спустя несколько часов после признания против компании выдвинули обвинения в халатности и подали коллективный иск.
Утечка в Uber, хотя и крупная, по масштабу уступает утечкам в Yahoo, MySpace, сети магазинов Target и кредитном бюро Equifax. В ситуации с сервисом Uber больше всего тревожит беспрецедентные шаги, которые предприняли сотрудники компании, чтобы скрыть атаку хакеров.
Этот взлом – последний скандал, который достался Uber в «наследство» от Трэвиса Каланика. Сооснователь и бывший глава компании узнал о хакерской атаке в ноябре 2016 год, спустя месяц после инцидента. Тогда Uber как раз заключил соглашение с Генеральной прокуратурой Нью-Йорка по делу о раскрытии данных и находился в процессе переговоров с Федеральной торговой комиссией.
Uber заплатил хакерам за молчание о 57 млн украденных профилей пассажиров и водителей
Дара Хосровшахи, новый глава Uber, выяснил сам, а затем признался публично, что в 2016 году у сервиса украли 600,000 записей о водительских правах американских водителей и 57 миллионов записей о пассажирах и водителях из разных стран мира. Персональные данные утекли из стороннего облачного хранилища во времена, когда Uber руководил Трэвис Каланик. Как уточнил Bloomberg, Uber тогда заплатил взломщикам $100,000 за молчание об утечке и попросил их стереть скопированные профили водителей и пассажиров. Действующий глава Uber отметил, что сервис оставил без должной защиты имена, email, номера мобильных телефонов, номера водительских прав. Однако номера соцстрахования и сведения о кредитных картах не скомпрометированы.
Uber наняли Дару Хосровшахи, экс-гендиректора турсервиса Expedia, лишь в августе 2017 года. Утечка персональных данных и выплаты взломщикам пришлись на 2016 год, когда сервисом руководил его сооснователь — Трэвис Каланик.
В середине июня 2017 года Каланик ушел в бессрочный отпуск, а 21 июня под давлением пяти инвесторов подал в отставку. Поклонники любили Каланика за харизму и стратегию «выиграть любой ценой».
Противников Каланика раздражал: сексизм, использование якобы «краденных» технологий, пост советника президента Трампа и отказ от забастовок в поддержку иммигрантов-мусульман.
Дара Хосровшахи — беженец, критик Трампа и один из самых дорогих топ-менеджеров в мире. «Возможно, вы спросите, почему мы говорим [про утечку] лишь сейчас, через год», — развёл руками новый глава сервиса вызова такси.
После разбирательства с наследством Трэвиса Каланика из Uber уже уволены двое специалистов, ответственных за утечку.
Сервис изменил подходы к безопасности и теперь, на всякий случай, дополнительно следит за попытками возможных злоупотреблений со скомпрометированными данными.
Данный материал опубликован на сайте BezFormata 11 января 2019 года,ниже указана дата, когда материал был опубликован на сайте первоисточника!
Ещё новости о событии:
По информации агентства Bloomberg, хакеры похитили личные данные 57 миллионов клиентов и водителей онлайн-сервиса заказа такси Uber.00:18 23.11.2017 33Live.Ru — Владимир
Uber скрыла мощную кибератаку с кражей данных 57 млн клиентов и водителей — РБК
Хакеры в 2016 году взломали системы Uber и похитили данные 57 млн клиентов и водителей службы такси. Сама компания об этом знала, однако скрывала от общественности информацию о крупной кибератаке на свои серверы
Системы Uber в 2016 году подверглись мощной хакерской атаке, в результате которой в руках у киберпреступников оказались личные данные 57 млн клиентов и водителей службы онлайн-такси, пишет Bloomberg.
Как рассказали агентству в самой компании, взлом системы произошел в октябре 2016 года.
Тогда хакеры украли имена, адреса электронной почты и номера телефонов 50 млн пассажиров Uber по всему миру, а также личную информацию о 7 млн водителей, в частности взломщики получили 600 тыс.
номеров водительских удостоверений водителей из США. Представители службы такси заверили, что номера социального страхования, данные кредитных карт и другие данные хакерская атака не затронула.
Сама кибератака проходила следующим образом: сначала два злоумышленника получили доступ к веб-сервису для хостинга IT-проектов и их совместной разработки GitHub, который используют программисты Uber, затем благодаря полученным учетным данным сотрудников компании получили доступ к данным, хранящимся в Amazon Web Services, который обрабатывал вычислительные задачи Uber. Там взломщики обнаружили архив с информацией о клиентах и водителях. После этого, как пишет Bloomberg, они направили письмо в Uber с требованием денежного выкупа.
По данным агентства, бывший исполнительный директор Uber Трэвис Каланик, который в июне уволился из компании на фоне скандала, узнал о кибератаке спустя месяц после того, как она произошла, но не обнародовал эту информацию. Вместо того чтобы сообщить о взломе регуляторам, компания заплатила хакерам порядка $100 тыс. взамен на удаление всех полученных данных и на неразглашение о случившемся. Сам Каланик отказался от комментариев Bloomberg.
Во время инцидента Uber вела переговоры с американскими государственными регуляторами, которые в тот момент расследовали отдельные претензии к компании о нарушении конфиденциальности. Таксомоторная компания, указывает агентство, теперь имеет юридическое обязательство сообщать о взломах властям и водителям, чьи данные могли попасть в руки злоумышленников.
Новый генеральный директор Uber Дара Хосровшахи опубликовал во вторник, 21 ноября, официальное заявление по поводу этого инцидента.
«Недавно я узнал, что в конце 2016 года нам стало известно, что два человека вне компании неправильно работали с пользовательскими данными, размещенными на стороннем облачном хранилище, которое мы используем. Этот инцидент не нарушил наши корпоративные системы или инфраструктуру», — написал он.
По словам руководителя американской компании, эксперты Uber не выявили случаев загрузки сторонними людьми истории поездок, данных кредитных карт и банковских счетов, номеров социального страхования или даты рождения. Хосровшахи признал, что в руках хакеров оказались данные водительских прав порядка 600 тыс. водителей из США, а также некоторая личная информация 57 млн пассажиров и водителей компании по всему миру.
«Во время инцидента мы предприняли немедленные шаги по обеспечению данных и прекращению дальнейшего несанкционированного доступа отдельных лиц к ним. Затем мы идентифицировали этих людей (хакеров. — РБК) и получили от них заверения о том, что загруженные данные были уничтожены», — подчеркнул гендиректор Uber.
Отвечая на вопрос, почему компания решила открыть для общественности факт случившегося, Дара Хосровшахи указал, что специалисты Uber проводили долгое расследование кибератаки и действий предыдущего руководства. Он заверил, что после этого направил всю имеющуюся информацию о взломе госрегулятору, а также поручил связаться с водителями, чьи данные были похищены.
Загрузка...
