אובר הסתירה גניבת נתונים עצומה – של 57 מיליון איש

אובר (Uber) לא מפסיקה להשאיר את עולם הטכנולוגיה בפיות פעורים: כעת מתגלה כי היא הסתירה מתקפת כופר ענקית, שבמסגרתה נחשף המידע האישי של 57 מיליון נוסעים ונהגים – ונגנב בשנה שעברה.

המנכ"ל החדש של ענקית שיתופי הנסיעות, דרה קוסרשאהי, הודה בפוסט שפרסם כי שני אנשים מחוץ למשרדי החברה "הגיעו באופן בלתי הולם לנתוני המשתמשים" בסוף 2016.

השבוע הדיחה הענקית את קצין האבטחה הראשי ואת אחד מסגניו מתפקידם בשל הכישלון בשמירת הסודיות סביב הפריצה.

קלאניק ידע – ובחר להסתיר

המנכ"ל לשעבר של אובר, טראוויס קאלניק, שפוטר מתפקידו באוגוסט, ידע על ההפרה בזמן שנחשפה – כך על פי בלומברג (Bloomberg), שהיה הראשון לפרסם את הידיעה בנושא. על פי הדיווח, החברה בחרה להסתיר את ההפרה ושילמה להאקרים 100 אלף דולר בכדי שימחקו את המידע הגנוב.

הדטה של אובר אוחסן בשירות צד שלישי מבוסס ענן, כך על פי קוסרשאהי. הוא פירט שהמידע האישי של 57 מיליון משתמשי אובר ונהגיה ברחבי העולם שנפרץ כלל שמות, כתובות מייל ומספרי טלפון נייד, כמו גם את השמות ואת מספרי לוחיות הרישוי של כ-600 אלף נהגים בארצות הברית.

דרה קוסרשאהי, מנכ"ל אובר. צילום: ג'ורג' גרינסטד, מתוך ויקיפדיה

הבוס החדש של הענקית, שנשכר לצורך תיקון הנזק שנגרם לאובר כתוצאה מההתנהלות שלה – חשדות לגנבת פטנטים מיריבתה בתחום הרכב האוטונומי, גוגל (Google); ניהול סקסיסטי שעליו התלוננו עובדות רבות; טענות לתרמית נגד הרגולציה של השלטונות; האשמות על יחס משפיל לנהגים ועוד ועוד סקנדלים שבהם היא הייתה מעורבת – כתב בהודעה שפרסם בבלוג כי "בזמן האירוע, נקטנו בצעדים מידיים בכדי לאבטח את הנתונים ולסגור גישה לא מורשית נוספת על ידי אנשים. לאחר מכן זיהינו את הפרטים וקיבלנו הבטחות כי הנתונים שהורדו הושמדו".

קוסרשאהי: "נלמד מהטעויות שלנו"

לפי קוסרשאהי, "אין אינדיקציה" לכך שההאקרים שמו ידיהם על היסטוריית הנסיעות, פרטי כרטיסי האשראי, מספרי חשבונות הבנק או תאריכי הלידה של המשתמשים והנהגים. "על אף שלא ראינו עדויות של הונאה או שימוש לרעה באירוע, אנחנו עוקבים אחר החשבונות המושפעים ומסמנים אותם להגנה נוספת מפני הונאה", כתב.

"אף דבר מכל זה לא היה צריך לקרות, ואני לא מוכן לספק תירוצים על כך. על אף שאני לא יכול למחוק את העבר, אני יכול להתחייב בשם כל עובד אובר שנלמד מהטעויות שלנו", הוסיף קוסרשאהי בניסיונות לכבות את האש.

אובר לא אישרה את הפרטים המדויקים של הפריצה, אבל על פי הדיווח בבלומברג, ההאקרים הצליחו לגשת לאזור פרטי של Github – אתר המשמש מפתחים. משם הם מצאו את פרטי הכניסה של אובר לשירותי האינטרנט של אמזון, AWS (ר"ת Amazon Web Services).

בחירתה של ענקית שירותי הנסיעות להסתיר ולטייח את הפריצה מטרידה במיוחד, אולי אפילו יותר מהפריצה עצמה. חברות נדרשות לחשוף הפרות נתונים משמעותיות בפני הרגולטורים – משהו שניתן להבין שלא נעשה במקרה זה, לפי ההודאה של קוסרשאהי.

יצוין כי זה לא מקרה בודד בהיסטוריה הממש לא מחמיאה של אובר: בינואר נקנסה החברה ב-20 אלף דולר בגין אי גילוי על הפרה חמורה בהרבה, שאירעה ב-2014.