22 november, 2017

Uber läckte 57 miljoner personuppgifter – betalade 100 000 USD för att tysta ned det

I en attack i oktober 2016 lyckades hackare komma över 57 miljoner personuppgifter om kunder och förare av taxiföretaget Uber. När intrånget var ett faktum försökte säkerhetsansvariga tysta ned incidenten genom att betala 100 000 USD till angriparna.

Det var i oktober 2016 som taxiföretaget Uber utsattes för en attack där angripare kom över personuppgifter för 50 miljoner Uber-användare och 7 miljoner Uber-förare. Bland uppgifterna som läckte fanns namn, e-postadresser och telefonnummer. Dessutom ska även körkortsuppgifter för 600 000 amerikanska förare ha funnits med. Enligt Uber ska dock inte personnummer, kreditkortsuppgifter eller resedata ha stulits.

Uber medger att de hade en laglig skyldighet att anmäla incidenten till tillsynsmyndigheter och till förare vars licensnummer togs. Men det gjordes aldrig, istället sopades incidenten under mattan, genom att betala angriparna 100 000 USD för att de skulle förstöra de stulna uppgifterna och inte läcka de publikt.

Till följd av det här har Uber i veckan avsatt sin Chief Security Officer och en av hans närmaste för deras medverkan kring att tysta ned den allvarliga incidenten.

Efter Ubers tillkännagivande meddelade Eric Schneiderman, New York Attorney General, att de kommer titta närmare på vad som verkligen har skett. Uber har också stämts i en class-action lawsuit/grupptalan, som kan bli en kostsam historia för företaget.

Så skedde attacken mot Uber

Två angripare lyckades komma över en privat GitHub-sida som användes av Uber-utvecklare. De använde sedan inloggningsuppgifterna därifrån för att komma åt data som lagrades på ett Amazon Web Services-konto, som hanterade viktiga funktioner hos företaget. Därifrån lyckades de hitta ett arkiv med information om Ubers användare och förare. Kort därefter ska angriparna ha mailat Uber för att be om pengar för att inte offentliggöra uppgifterna, enligt Uber själva.

Ubers nya VD Dara Khosrowski försäkrar att företaget vidtog åtgärder som att stänga ytterligare obehörig access till personuppgifterna. Dessutom ska Uber ha ”implementerat säkerhetsåtgärder för att begränsa tillgången och stärka kontrollerna till företagets molnbaserade lagringskonton”.

Enligt uppgifter till Bloomberg planerar Uber att släppa ett pressmeddelande till sina kunder där de säger att ”de inte har sett några tecken på bedrägeri eller missbruk kopplade till händelsen”. Förare vars körkortsuppgifter som läckt ska erbjuda gratis kredit och ID-skydd.

Kontakta oss

Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.

Ta kontroll över din säkerhet

Boka kostnadsfri rådgivning

I samråd med dig pratar vi om din organisations säkerhetsutmaningar och diskuterar hur vi på Sentor kan hjälpa dig att uppnå dina mål. Om du hellre vill bli kontaktad, ange dina uppgifter i kontaktformuläret.