Web
Analytics
Internet

Uber: Notificare cu privire la incidentul de securitate a datelor din 2016

Într-o încercare de a părea o companie serioasă, fără taximetriști creoli, maneliști și bișnițari care refuză cursele în ultimele 6 luni, Uber a transmis astăzi clienților o notificare via email. Dacă GDPR nu îi lasă să trimită newslettere fără acordul meu, poate astfel de mesaje explicative mai spală imaginea șifonată grav în ultimul timp.

După cum probabil știți, Uber s-a confruntat cu un incident de securitate a datelor în anul 2016. Tratăm cu seriozitate acest aspect și am lucrat împreună cu experți externi pentru a înțelege impactul acestui incident. Nu am observat nicio dovadă de fraudă sau utilizare abuzivă în contextul incidentului, însă vă transmitem prezenta notificare pentru a ne asigura că aveți cunoștință de faptul că incidentul a vizat și datele dvs.

Vă asigurăm că, atunci când a survenit incidentul, am luat măsuri imediate pentru a asigura securitatea datelor, am blocat accesul neautorizat și am întărit măsurile de securitate a datelor. Nu considerăm că este necesar să luați vreo măsură ca urmare a acestui incident. Cu toate acestea, avem în vedere contul dvs. pentru o protecție suplimentară împotriva fraudelor și continuăm să monitorizăm toate conturile afectate.

Ne cerem scuze pentru acest incident. Vă asigurăm că suntem dedicați menținerii integrității și securității datelor dvs. cu caracter personal.

Descrierea incidentului – analiză pe text

În luna noiembrie 2016, Uber a luat cunoștință de faptul că două persoane din afara companiei accesaseră anumite date ale utilizatorilor stocate pe o platformă de stocare în cloud oferită de un terț furnizor. După știința Uber, accesul neautorizat a început la data de 13 octombrie 2016 și s-a încheiat cel târziu la data de 15 noiembrie 2016. 

Deci niște băieți au accesat un server oferit de un terț furnizor, cum de altfel 80% din internet are. Acel furnizor poate fi compania de hosting, procesatorul de plăți, oricare. Nu se zice care. Ca la știrile TV despre un hypermarket care are carne infestată. Nu se zice care, dar e unul acolo…undeva.

Fișierele accesate conțineau date ale utilizatorilor pe care le-am utilizat pentru prestarea serviciilor noastre, și pentru aproape toți utilizatorii includeau numele, adresa de e-mail și numărul de telefon mobil utilizat pentru logare în cont înainte de anul 2016. Experții externi nu au găsit niciun indiciu că istoricul deplasărilor, datele de naștere sau datele cardurilor bancare ar fi fost accesate sau descărcate.

Deci tabela de users, nu?

În unele cazuri informația accesată a inclus date colectate de la utilizatori sau date asociate de către Uber contului utilizatorilor precum: ID-uri unice ale utilizatorilor (Universally Unique Identifier – UUID); anumite date de localizare statice ca de exemplu latitudinea și longitudinea locației unde a fost creat contul Uber; token utilizatori; evaluare utilizatori; notițe ale angajaților Uber; parole criptate și sume datorate de Uber șoferilor parteneri.

Stai că e mai mult. Deci nu doar tabela de utilizatori ci si parolele criptate (sper sa fi fost pe bune criptate minim md5), informații financiare, token cu care ulterior pe un telefon cu acces de root te poți autentifica fără parola… Un ospăț!

Pentru orice întrebări adiționale, vă rugăm să ne contactați accesând secțiunea „Help/Ajutor” a aplicației sau help.uber.com > secțiunea „Mai multe” > secțiunea „Aspecte juridice, confidențialitate și alte întrebări” > secțiunea „Incident Securitate Date, 2016”.

De ce? Ca și datele astea să ajungă la următorul cracker?

Ceea ce mă fascinează este faptul că deși sunt cu pantalonii în vine și ne resemnaserăm deja ca datele au plecat în lumea largă fără nicio problemă, continuă în termeni de PR să spună că au greșit dar totul e roz. Hai sa vedem a cui a fost vina, ce metodă a fost folosită, care a fost vinovatul dacă tot sugeram tardiv la început că platforma era a unui terț. Ce măsuri concrete s-au luat? De unde știu că acum e în regulp? Doar pentru că jură pe roșu o tipă de la PR?

Ca să înțelegem dimensiunea problemei, nu vorbim doar de taximetriștii noștri de pe Uber, că ăștia au venit acum la spartul târgului. Vorbim de un incident de securitate din 2016, cand au plecat în lumea largă peste 57.000.000 conturi de utilizator.

57 fucking milioane !

Link: https://www.uber.com/en-CA/newsroom/2016-data-incident/

Distribuie articolul pe:
TwitterFacebookGoogle+

Adaugă un comentariu la acest articol

Cristian Iosub