Компания Uber скрыла факт масштабной кибератаки, которая случилась в прошлом году. В результате действий злоумышленников, учетные данные 57 млн пользователей и водителей были украдены.
Кроме того, как стало известно Bloomberg, Uber заплатила хакерам выкуп в размере $100 тыс. за молчание и удаление скомпрометированной информации.
«Мы будем вести бизнес по-другому»
Об инциденте сообщил в своем блоге новый генеральный директор Uber Дара Хосровшахи, вступивший в должность в августе 2017 года. Он возглавил компанию в трудный период и пообещал, что с его приходом начнется «новая страница в истории».
Начать новую страницу Хосровшахи решил с признания старых ошибок. Он заявил о том, что ему стало известно о хакерской атаке, случившейся в прошлом году — двое злоумышленников смогли получить доступ к информации о клиентах, которая хранилась в «облачном» сервисе.
ИБ-евангелист компании Balabit Чаба Краснаи пояснил «Газете.Ru», что в случае утечки данных в Uber, говорится о том, что хакерам удалось получить доступ к репозиторию на GitHub и оттуда войти в Amazon Web Services, где сотрудники Uber обрабатывали вычислительные задачи. В подобных случаях наилучший способ — обеспечить безопасность привилегированных пользователей с помощью паролей — но это не более чем первая линия защиты.
«У профессиональных киберпреступников множество методов взлома привилегированных аккаунтов, так что, если компании действительно хотят уменьшить риск утечки информации, они должны ввести в действие технологию, которая будет отслеживать поведение пользователей после этапа аутентификации», — рассказал Краснаи.
Глава Uber заявил, что в ходе взлома
были раскрыты имена и номерные знаки 600 тыс. водителей компании в США, а также «некоторая личная информация» 57 млн пользователей Uber по всему миру — имена, электронные адреса и номера мобильных телефонов.
Хосровшахи отметил, что украденная информация не включала в себя данные по геолокации, номера банковских карт и социального страхования, а также даты рождения пассажиров.
Согласно американскому законодательству, Uber был обязан оповестить о кибератаке соответствующие органы власти, а также уведомить пострадавших. Вместо этого руководство компании приняло решение заплатить хакерам, чтобы они избавились от полученной информации.
В Uber уверены, что украденные данные нигде не использовались, но компания отказалась раскрыть личность хакеров.
Сообщается, что о взломе знал предыдущий глава Uber Трэвис Каланик,
но, так как компания на тот момент участвовала в нескольких судебных процессах, предположительно принял решение не разглашать информацию о кибератаке.
Скрыть взлом Каланику помог глава службы безопасности Джо Салливан. На этой неделе он и его несколько помощников были уволены из компании в связи с имевшим место инцидентом.
В заключение своей публикации Дара Хосровшахи отметил, что этого происшествия не должно было случиться, и он не будет искать оправдания для руководства компании.
«Мы не можем изменить прошлое, но я обещаю от имени каждого сотрудника Uber, что мы извлечем урок из своих ошибок. Отныне мы будем вести бизнес по-другому — в основе каждого нашего решения будет лежать добросовестность, а доверие наших клиентов мы будем зарабатывать хорошей работой», — заявил глава Uber.
На честность рассчитывать не приходится
«Газета.Ru» пообщалась с заместителем руководителя лаборатории компьютерной криминалистики компании Group-IB Сергеем Никитиным, который порекомендовал никогда не платить хакерам выкуп как в случае хищения информации, так и атаки вируса-шифровальщика.
Во-первых, это не гарантирует возврат украденных данных, а кроме того каждый выплаченный выкуп финансирует киберпреступность, мотивируя совершать все новые и новые атаки.
«Когда вы платите выкуп хакерам, надо понимать, что они будут с вами нечестны. Это же киберпреступники», — пояснил Никитин.
Василий Дягилев, глава представительства компании Check Point Software Technologies в России и СНГ, в беседе с корреспондентом «Газеты.Ru» отметил, что случаи утечек, как в Uber, участились в последние пять лет, когда пришло понимание ценности информации.
«Громкие утечки персональных данных из Anthem, Experian, взломы Ashley Madison и Sony Pictures позволили хакерам не только получить ценную информацию, которую можно продать, но и открыли возможности для антисоциальных действий, политических преступлений, шантажа, шпионажа и т.д.», — сообщил эксперт. Он также напомнил о необходимости просвещения сотрудников крупных компаний на тему ИБ-рисков и работы с ценными данными.