Uber hack - 50 ezer sofőr adata bánta

2015. március 02. 13:38 - Csizmazia Darab István [Rambo]

A cég megerősítette, hogy informatikai támadás áldozata lett, és a behatolók személyes adatokhoz fértek hozzá. A beszámoló szerint egyszeri incidensről van szó, és a rendszerben szereplő autóvezetők jogosítvánnyal kapcsolatos információi kerülhettek illetéktelen kezekbe.

Az Uber a tavalyi év folyamán szenvedte el a betörést, és bár maga a támadás még 2014. májusában történt, azt csak szeptemberben hozták nyilvánosságra. Állítólag a kompromittált adatbázisban szereplő jogosítvány adatok jelentős része már régi és elavult, és csak kis részben tartalmaz aktív, jelenleg is pozícióban szereplő személyes adatot - legalábbis ezt nyilatkozta az eset kapcsán Katherine Tassi, az Uber adatvédelméért felelős vezetője.

Állításuk szerint nincs tudomásuk arról, hogy a megszerzett identitás adatok birtokában valaki konkrét visszaélést, vagy célzott támadást követett volna el, ennek ellenére egy éven át kiemelten figyelemmel kísérik, és monitorozni fogják az áldozatul esett személyek adatait.

Az első beszámolókkal ellentétben tehát nem rendszám, hanem vezetői jogosítvány adatok kerültek veszélybe, emiatt az Ars Technica már javította is az eredeti cikkét és elnézést kért a kezdeti pontatlanságért. Az Uber a hírek a támadás után elhárította a behatolást lehetővé tévő hiányosságokat és megerősítette az adatbázisok védelmét.

Arra viszont nem született még semmilyen elfogadható magyarázat, hogy az incidenst hogyan nem fedezték fel korábban, illetve a saját dolgozóikat is miért csak most, a felfedezéshez képesti újabb 5 hónapos késéssel, az adatok miatt John Doe ellen ;-) indított pereskedés kezdetekor értesítették.

Ügyvédeik útján igyekeznek nyomást gyakorolni a GitHub portálra azért, hogy tőlük megkaphassák az oda még tavaly május 13-án az 50 ezer adatot feltöltő személy, illetve utána a bejegyzést május a szeptember közötti időszakban látogatók IP címeit. Nem ez az első eset egyébként, hogy az Uber biztonsága különböző aspektusokból terítékre kerül, hiszen például a nők elleni támadásokról mindenki hallhatott.

De visszatérve szigorúan az IT biztonság területére, korábban már itt is érte számos bírálat a cég adatvédelmi gyakorlatát. Emlékezetes lehet például az a chicagói eset, amikor véletlenül kiderült, hogy egyes, a taxiszolgáltatást éppen igénybe vevők adatait nyilvánosan is megjelenítették amiatt, hogy ezzel reklámozzák saját szolgáltatásukat.

2 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr977233517

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Arcade Macho 2015.03.03. 02:20:05

a linkelt oldalrol: "In a blog post on Friday, Uber admitted the database of driver names and license plates was accessed by the hacker way back in May, but the startup only spotted it in September."

a kerdes az az, hogy amihez a NAV / amcsi adohatosag amugy is hozzafer az miota is erzekeny adat, amit ugymond elloptak :)
amugy erdekes a kerdes hogy a git miert is nem adja ki az elkovetot, ha egyertelmu hogy buncselekmeny tortent

Arcade Macho 2015.03.03. 16:16:52

elnezest hulyeseget irtam igy egy nap tavlatabol

inkabb ugy akartam volna mondani hogy amirol az adohatosag tud az ugyis veszve van, lasd Al Bundy, nem csekket kerunk hanem cash -t :)