Uber zapłacił 100 tys. dolarów hakerom, by zataić atak sprzed roku

Ponad rok temu cyberprzestępcy wykradli z Ubera dane osobiste ponad 57 milionów klientów i kierowców. Dowiadujemy się o tym dopiero teraz, ponieważ korporacja bardzo starała się zataić ten fakt. Zapłaciła nawet okup wysokości 100 tysięcy dolarów włamywaczom, by nie ujawnili szczegółów i usunęli zdobyte dane.

Cyberprzestępcy wykradli dane osobiste około 50 milionów klientów Ubera z całego świata, w tym nazwiska, adresy, numery telefonów i adresy e-mail. Nie udało im się zdobyć szczegółów podróży ani numerów kart kredytowych. W rękach włamywaczy znalazły się też dane 7 milionów kierowców, w tym 600 tysięcy amerykańskich numerów praw jazdy. Liczby są imponujące, ale to wciąż o rząd wielkości mniej, niż włamywacze zdobyli po ataku na Yahoo! – ostatecznie mówi się o miliardzie kont.

Uber przerabia ogromne ilości danych i nic dziwnego, że w końcu znaleźli się włamywacze, którzy podjęli ryzyko i wykradli część z nich. Dziwi działanie Ubera, który poinformował o włamaniu dopiero w nocy z wtorku na środę naszego czasu. Klienci nie wiedzieli, że ich dane mogą być w rękach przestępców od ponad roku. Co prawda szef bezpieczeństwa Ubera zapłacił włamywaczom okup wysokości 100 tys. dolarów za usunięcie danych i milczenie, ale zawsze jest ryzyko, że nie wywiązali się z umowy. Podobno do tej pory dane nie były wykorzystane, ale Uber i tak chroni tożsamość włamywaczy. Osoba odpowiedzialna za to rozwiązanie i jeden z jego podwładnych zostali usunięci ze stanowiska.

Dlaczego włamanie zostało zamiecione pod dywan? W połowie 2016 roku Uber był już pod lupą amerykańskich regulatorów, którzy prowadzili dochodzenie w sprawie kilku innych naruszeń prywatności. Firma była prawnie zobowiązana, by powiadomić władze o włamaniu, a także zawiadomić kierowców, że numery ich praw jazdy zostały przejęte. Poprzedni CEO Ubera, Travis Kalanick, dowiedział się o włamaniu miesiąc po tym, gdy miało miejsce, czyli w listopadzie ubiegłego roku. Nie zdecydował się jednak ujawnić informacji o nim, prawdopodobnie obawiając się dalszych problemów z regulatorami i Federalną Komisją Handlu. Ponadto na początku 2016 Uber został ukarany grzywną wysokości 20 tysięcy dolarów za zatajenie informacji o włamaniu z 2014.

Natychmiast po ujawnieniu informacji o włamaniu, o czym zdecydował nowy kierownik Ubera Dara Khosrowshahi, prokurator generalny Nowego Jorku wszczął dochodzenie, klienci zaś szykują pozew zbiorowy o zaniedbanie obowiązków. Nowy CEO obiecał też, że Uber będzie uczył się na błędach i przejdzie poważną restrukturyzację. Przeszłości niestety nie da się zmienić. Klienci zostaną poinformowani o włamaniu, zaś kierowcom, których prawa jazdy zostały wykradzione, zapewniona zostanie ochrona tożsamości i monitorowanie wypłat.

Jeśli korzystacie z Ubera i obawiacie się o stan swojego konta, sprawdźcie koniecznie w aplikacji listę przejazdów i rachunków. Jeśli znajdziecie podejrzane transakcje, możecie to zgłosić w menu Pomoc → Konto i opcje płatności → Naliczono mi nieznaną opłatę → Zabezpieczenia mojego konta zostały złamane. Warto też od razu zmienić hasło do konta.