57 millió felhasználó adatát lopták el az Ubertől

Az Uber elismerte, hogy még a tavalyi év során 57 millió felhasználójának adataihoz fértek hozzá illetéktelenek. Ráadásul az incidens után a céget meg is zsarolták az elkövetők.
 

Az év végéhez közeledve sem fogyunk ki az adatvédelmi incidensekről szóló bejelentésekből. A jelentős adatszivárgási esetek közé immár az Uber incidensét is feljegyezhetjük, hiszen a vállalat hivatalosan is elismerte, hogy 2016 októberében egy nagyon komoly támadás érte az egyik adatbázisát. Az adatbiztonsági incidens összesen 57 millió személyt érintett kisebb nagyobb mértékben. A legtöbb esetben nevek, e-mail címek és telefonszámok csúsztak ki a cég fennhatósága alól. Emellett 600 ezer amerikai sofőr jogosítványadatai is az adattolvajokhoz kerültek.
 
Az Uber jelezte, hogy jelenleg nincs tudomása arról, hogy a lopott adatokkal történtek volna visszaélések, de a biztonság kedvéért a 600 ezer sofőr számára különféle biztonsági szolgáltatásokat fog biztosítani. Ezzel azonban az ügy korántsem zárul le, már csak azért sem, mert az incidens rengeteg kényes kérdést vet fel.
 
Ráérünk arra még…
 
Az első probléma, hogy a vállalat vajon miért várt több mint egy évet az igen jelentős adatbiztonsági incidens nyilvánosságra hozatalával és az érintettek értesítésével. Ezzel kapcsolatban mindössze annyit tudni, hogy a nyár végén kinevezett vezető, Dara Khosrowshahira csak nemrégen szerzett tudomást a történtekről, és ezt követően tudott lépéseket tenni az ilyenkor szokásos intézkedések meghozatala érdekében. Tehát az is elképzelhető, hogy egy újabb csontváz esett ki a szekrényből.
 
A felhőből potyogtak az adatok
 
A második probléma, hogy az Ubernek nem volt megfelelő a védelmi rendszere ahhoz, hogy az incidens megelőzhető lett volna. Az Uber viszonylag kevés konkrétummal szolgált az eset technikai hátteréről, de úgy tudni, hogy az adatok az Amazon AWS segítségével üzemeltetett egyik rendszerből kerültek ki. Ehhez két személy fért hozzá, akik korábban az Uber alkalmazottjai lehettek. A hozzáféréshez pedig egy SSH-kulcsot használtak, amit egy GitHub fiókból kaparintottak meg, és a vállalaton kívülről hajtották végre az akciójukat. Így tudták elkerülni az Uber biztonsági mechanizmusai által biztosított védelmet. Nem hiába hívja fel egyre több szakember a figyelmet arra, hogy a felhős infrastruktúrákba kihelyezett adatokat, rendszereket is be kell vonni a vállalatok védelmi ernyői alá.
 
Még zsaroltak is
 
Végül egy harmadik problémát is meg kell említeni. A hírek szerint ugyanis a két adattolvaj a támadást követően megzsarolta a vállalatot. Annak érdekében, hogy a lopott adatok ne kerüljenek ki az internetre, vagy a netes feketepiacra, a cég állítólag 100 ezer dollárt fizetett az elkövetőknek. A vállalat annyit közölt, hogy már azonosította az elkövetőket, és kellő biztosítékkal rendelkezik arra vonatkozóan, hogy az eltulajdonított adatokat a támadók megsemmisítették. Ezzel kapcsolatban további konkrétumokat azonban nem árult el a cég.
 
Az Ubert nemcsak azért éri kritika, mert elhallgatta a történteket, hanem azért is mert fizetett a támadóknak. A biztonsági cégek gyakran hangoztatják, hogy az internetes zsarolóknak azért sem célszerű behódolni, mert ezzel csak felbőszülnek a társaikkal együtt.
 
"Az Uber reakciója a támadásra felelőtlen, hiszen veszélyes precedenst teremt azzal, hogy fizet a bűnözőknek. Ez más kiberbűnözői csoportokat is ösztönözhet hasonló tevékenységekre" - nyilatkozta David Emm, a Kaspersky Lab vezető biztonsági kutatója. A szakember hozzátette, hogy ez az egyik oka annak, hogy az új EU-s adatvédelmi rendelethez (GDRP-hoz) kapcsolódó bírságokat sem szabadna túlzásokba vinni, mivel a csillagászati összegű büntetések arra fogják sarkallni a támadások áldozatává váló szervezeteket, hogy inkább eltusolják a történteket, és akár a zsarolók követeléseit is teljesítsék.