A cég megerősítette, hogy informatikai támadás áldozata lett, és a behatolók személyes adatokhoz fértek hozzá. A beszámoló szerint egyszeri incidensről van szó, és a rendszerben szereplő autóvezetők jogosítvánnyal kapcsolatos információi kerülhettek illetéktelen kezekbe.

Az Uber a tavalyi év folyamán szenvedte el a betörést, és bár maga a támadás még 2014. májusában történt, azt csak szeptemberben hozták nyilvánosságra. Állítólag a kompromittált adatbázisban szereplő jogosítvány adatok jelentős része már régi és elavult, és csak kis részben tartalmaz aktív, jelenleg is pozícióban szereplő személyes adatot - legalábbis ezt nyilatkozta az eset kapcsán Katherine Tassi, az Uber adatvédelméért felelős vezetője.

Állításuk szerint nincs tudomásuk arról, hogy a megszerzett identitás adatok birtokában valaki konkrét visszaélést, vagy célzott támadást követett volna el, ennek ellenére egy éven át kiemelten figyelemmel kísérik, és monitorozni fogják az áldozatul esett személyek adatait.

Az első beszámolókkal ellentétben tehát nem rendszám, hanem vezetői jogosítvány adatok kerültek veszélybe, emiatt az Ars Technica már javította is az eredeti cikkét és elnézést kért a kezdeti pontatlanságért. Az Uber a hírek a támadás után elhárította a behatolást lehetővé tévő hiányosságokat és megerősítette az adatbázisok védelmét.

Arra viszont nem született még semmilyen elfogadható magyarázat, hogy az incidenst hogyan nem fedezték fel korábban, illetve a saját dolgozóikat is miért csak most, a felfedezéshez képesti újabb 5 hónapos késéssel, az adatok miatt John Doe ellen ;-) indított pereskedés kezdetekor értesítették.

Ügyvédeik útján igyekeznek nyomást gyakorolni a GitHub portálra azért, hogy tőlük megkaphassák az oda még tavaly május 13-án az 50 ezer adatot feltöltő személy, illetve utána a bejegyzést május a szeptember közötti időszakban látogatók IP címeit. Nem ez az első eset egyébként, hogy az Uber biztonsága különböző aspektusokból terítékre kerül, hiszen például a nők elleni támadásokról mindenki hallhatott.

De visszatérve szigorúan az IT biztonság területére, korábban már itt is érte számos bírálat a cég adatvédelmi gyakorlatát. Emlékezetes lehet például az a chicagói eset, amikor véletlenül kiderült, hogy egyes, a taxiszolgáltatást éppen igénybe vevők adatait nyilvánosan is megjelenítették amiatt, hogy ezzel reklámozzák saját szolgáltatásukat.