Szerző: Gálffy Csaba

2017. November 22. 18:18:00

Masszív adatszivárgást titkolt el az Uber

Szándékosan eltitkolta a felhasználók elől az Uber, hogy 2016-ban adatlopás áldozata volt és több tízmillió felhasználó adatai fölött vesztette el a kontrollt. A cég később pénzt adott a támadóknak az adatok törléséért és a támadás titokban tartásáért cserébe.

Sorban dőlnek ki a csontvázak az Uber szekrényéből, a mai hír azonban az eddigi botrányokhoz képest igazán számottevő: a cég tavaly, 2016 októberében mintegy 57 millió felhasználó, utazók és sofőrök érzékeny adatait veszítette el egy támadásban. Az esetről a cég szinte azonnal tudomást szerzett, azt azonban máig nem közölte a felhasználókkal, inkább a támadókkal együttműködve, azok hallgatásáért fizetve tussolta el az ügyet - állítja a Bloomberg friss cikke, amelyet időközben az Uber új elnök-vezérigazgatója, Dara Khosrowshahi is megerősített.

A blogbejegyzés folytatja a lassan szokásossá váló Canossa-járások sorát: "Ennek nem szabadott volna megtörténnie és kifogásokat sem fogok mondani" - írja Khosrowshahi. A tömör szöveg a támadás részleteire nem tér ki, arra viszont igen, hogy milyen lépéseket tesz a cég azért, hogy az ilyen incidenseket a jövőben elkerülje, illetve hogyan kívánja azokat másképp kezelni. Első körben természetesen a nyilvánosság és az érintett szabályozó hatóságok értesítése zajlik, ennek része a most publikált bejegyzés is.

Adatvesztés, vesztegetés?

Hosszú időre emlékezetes és tanulságos lesz az is, ahogy a támadás lezajlott. A rendelkezésre álló információk szerint a támadó páros az Uber privát GitHub repójához szerzett hozzáférést, majd az itt tárolt belépési adatokkal sikerült az Amazon Web Services-en futó szerverekre bejutni. A támadók itt találták meg a sofőrökre és utazókra vonatkozó adatbázisokat, az információkat pedig végül le is töltötték. Fontos hangsúlyozni, hogy ez a cég privát GitHub fiókja volt, nem a nyilvános kódtárban maradt véletlenül benne user-jelszó páros (noha ez is gyakran előforduló tévedés). Fontos részlet, hogy a támadók az AWS rendszerét nem tudták megkerülni, a felhasználónév-jelszó páros birtokában a "főbejáraton" keresztül fértek hozzá az adatbázisokhoz.

dara

Dara Khosrowshahi - takarít.

Machine learning és Scrum alapozó képzéseket indítunk! (x) A HWSW októberben induló gyakorlatorientált, 10 alkalmas, 30 órás online képzéseire most early bird kedvezménnyel lehet regisztrálni!

A 2016 októberi támadás nyomán mintegy 50 millió utazó felhasználó neve, email-címe és telefonszáma került veszélybe. Rajtuk kívül további 7 millió Uber-sofőr adataihoz is hozzáfértek, így többek között 600 ezer amerikai sofőr jogosítványának számát is megszerezték. A különösen fontosnak számító társadalombiztosítási számokat és kártyaadatokat más rendszerek kezelték, ahhoz a támadók így nem fértek hozzá. Ugyanígy a jelszavak sincsenek veszélyben - az Uber legalábbis ezeket egyáltalán nem említi a lemásolt adatok között.

A cég egyébként viszonylag gyorsan lépett akkor és az adatbázis további terjedését megakadályozta. A Bloomberg szerint tette ezt úgy, hogy a támadóknak mintegy 100 ezer dollárnyi pénzt fizetett azért cserébe, hogy a megszerzett adatbázisokat letöröljék és titokban tartsák a támadás tényét. A cég ezt követően nem értesítette a hatóságokat és a felhasználókat az adatvesztésről - egészen mostanáig. A masszív adatvesztés nyomán el is indult ma az első per a cég ellen, a Los Angeles-i bíróságon panaszt tevő felperes szerint a cég gondatlansággal kezelte az adatokat. A perben kártérítést kérnek a cégtől.

Az igazi önvezető vállalat

Visszatérő gúny, hogy az Uber olyan gyors ütemben rúgja ki a C-szintű vezetőket, ahogyan már nem tudja a hiányzókat pótolni - ettől már most "önvezető" a vállalat. A szervezetből jelenleg is hiányzik a pénzügyi igazgató (CFO), az ügyvezető igazgató (COO), a fejlesztési vezető (SVP of Engineering), a jogi igazgató (General Counsel), a marketingigazgató (CMO), de számos más pozíció is üres.

A lista most egy újabbal bővült, az IT-biztonsági igazgató (CSO) Joe Sullivan is azonnali hatállyal repült a fenti történet következményeként. Sullivan korábban ügyészként dolgozott, illetve a Facebooknál vállalta el a CSO pozíciót, onnan érkezett az Uberhez ugyanebbe a munkakörbe. Itt azonban nem csak hagyományos informatikai biztonsággal foglalkozott, hanem a versenytársakra vonatkozó hírszerzéssel (competitive intelligence, COIN) is, valamint alá tartozott az SSG (Strategic Services Group). Ez az egység foglalkozott azzal, hogy a cég versenytársaival és vélt vagy valós ellenfeleivel kapcsolatban információkat halmozzon fel, és a potenciális munkavállalók hátterét vizsgálja - írja a Bloomberg igen részletes portréja a cég sötét ügyeiről.

Sullivan titokban felvette a jogi igazgató-helyettes pozícióját is, aminek hatalmas előnye van: így élvezi az ügyvédi titoktartást, belső kommunikációja nem idézhető be a cég ellen folyó perekben. Ilyen pedig immár bőséggel van, a Bloomberg csak az Egyesült Államokban öt különböző hatósági vizsgálatról tud - ez több, mint amennyit a cég eddig bevallott.

A cikk szerint Sullivan munkája egyébként teljes homály volt az Uber igazgatótanácsa számára is, Travis Kalanick vezérigazgató menesztése után pedig külön külsős audittal mérték fel, hogy a Sullivan alá tartozó egységek pontosan mit is csináltak - és hogy azok vajon milyen károkat okoztak a cégnek. Végül ez az audit világított rá a fenti adatlopásos-lefizetős ügyre is, ezt cégen belül szintén Sullivan intézte el, ami végül a CSO kirúgásához vezetett.

a címlapról