211service.com
Uber heeft hackers betaald om enorme datalekken te verbergen
Getty
Uber heeft de afgelopen jaren veel verkeerde afslagen genomen. Maar de nieuwste is zeker een van de meest schadelijke. Bloomberg heeft onthuld dat het bedrijf meer dan een jaar lang een enorm datalek verzweeg dat gevoelige gegevens van miljoenen chauffeurs en klanten blootlegde. De inbreuk, die plaatsvond in oktober 2016, werd naar verluidt verborgen door Uber's chief security officer, Joe Sullivan, en anderen. Sullivan en een van zijn plaatsvervangers zijn door het bedrijf afgezet. Travis Kalanick, de medeoprichter en voormalig CEO van het bedrijf, werd niet lang nadat het gebeurde op de hoogte gebracht van de inbreuk.
In een persbericht De huidige CEO van Uber, Dara Khosrowshahi, werd kort na het verschijnen van Bloombergs verhaal gepubliceerd en zei dat hackers bestanden hadden kunnen downloaden die een aanzienlijke hoeveelheid informatie bevatten, waaronder de namen en rijbewijsnummers van ongeveer 600.000 chauffeurs in de Verenigde Staten, evenals persoonlijke informatie zoals namen, e-mailadressen en mobiele telefoonnummers van 57 miljoen Uber-gebruikers over de hele wereld. Het bedrijf zegt dat externe forensische experts die het heeft ingeschakeld om de inbreuk te analyseren, geen enkele aanwijzing hebben gezien dat creditcardnummers, bankrekeninggegevens en burgerservicenummers zijn gedownload. Maar het zei niet dat dergelijke details niet waren geschonden.
Net als bij eerdere megahacks zullen er de komende dagen en weken meer details naar voren komen. Maar er zijn nu al prangende vragen die om snelle antwoorden vragen. Wie binnen het personeel van Uber wist precies van de hack nadat deze plaatsvond, en hoeveel mensen waren actief betrokken bij de doofpotaffaire, waarbij de hackers $ 100.000 betaalden om gegevens te verwijderen en de inbreuk stil te houden? Werd iemand in het bestuur van Uber destijds op de hoogte gebracht van de inbraak? Zo niet, waarom niet? En waarom heeft Uber de toezichthouders niet snel geïnformeerd over de hack?
Verwant verhaal
Verwant verhaal Een klein maar groeiend aantal cyberbeveiligingsbedrijven introduceert garantieprogramma's die kunnen dienen als verzekering tegen de kosten van een mogelijk datalek.Het rapport van Bloomberg zegt dat toen de inbreuk plaatsvond, Uber al in gesprek was met Amerikaanse regelgevers over afzonderlijke privacyschendingen en net een zaak had geregeld met de Federal Trade Commission over verkeerd gebruik van consumentengegevens. Het meldde vorige maand ook dat het bestuur van het bedrijf een onderzoek was gestart naar de activiteiten van het beveiligingsteam van Sullivan. Het was het externe advocatenkantoor dat de leiding had over de hack en de doofpotaffaire.
De inbreuk roept grote vragen op over de staat van de beveiligingspraktijken van Uber. Volgens Bloomberg konden de indringers inloggegevens van Uber-technici vinden op Github, een veelgebruikte coderepository. Deze gaven hen toegang tot een Amazon cloud computing-server die de gegevens bevat. Dat is een verbazingwekkende schending van de basisprincipes van beveiliging. Het is ook verbazingwekkend dat zulke grote hoeveelheden gevoelige persoonlijke gegevens blijkbaar werden bewaard op een service van derden zonder te worden versleuteld.
Uber spant zich nu in om de reputatieschade te beperken. Het bedrijf heeft een voormalig algemeen adviseur van de NSA ingehuurd om het te helpen zijn beveiligingspraktijken te heroverwegen en heeft ook Mandiant behouden, een cyberbeveiligingsbedrijf dat de gevolgen van vele spraakmakende inbreuken heeft aangepakt. Khosrowshahi hoorde pas onlangs over de inbreuk. Dit had allemaal niet mogen gebeuren, zei hij in de release, en ik zal er geen excuses voor maken. Dat is maar goed ook, want het gedrag en de praktijken die tot dit fiasco hebben geleid, zijn onvergeeflijk.