Компании Uber Technologies Inc. пришлось уволить своего директора по безопасности и одного и его заместителей за помощь в сокрытии информации об утечке данных, в результате которой хакерам удалось получить доступ к личным данным 57 миллионов пользователей сервиса и работающих с ним водителей.



22 ноября 2016 года новостной портал Bloomberg опубликовал сообщение об увольнении директора по безопасности Uber Джо Салливана (Joe Sullivan). Салливан и его заместитель, очевидно, пытались скрыть утечку данных и факт выплаты компанией 100 тысяч долларов лицам, взявшим на себя ответственность за атаку. В результате их действий Uber не сообщила регулятору об утечке данных, как это требуется законодательством штата и федеральным законом.

Двум злоумышленникам удалось получить доступ к закрытой странице Uber на GitHub и воспользоваться полученными в результате этого учетными данными для аутентификации в аккаунте Amazon Web Services (AWS), который использовался компанией для обработки платежей. Именно благодаря этому атаковавшим удалось получить имена, адреса электронной почты и телефоны 50 миллионов пользователей Uber по всему миру. Кроме того, им удалось получить доступ к персональным данным 7 миллионов водителей Uber, в том числе к 600 тысячам государственных номерных знаков.

Вскоре после этого злоумышленники обратились в Uber и потребовали от компании деньги. Салливан и его заместитель организовали выплату затребованной суммы и постарались скрыть это происшествие.

Дара Хосровшахи (Dara Khosrowshahi), главный исполнительный директор Uber, выразил свои сожаления по поводу произошедшей утечки и последующей попытки сотрудников компании скрыть эту утечку:

«Всего этого не должно было произойти, и нам нет оправдания. И хотя я не могу стереть прошлого, я могу поручиться от имени всех сотрудников Uber, что мы будем учиться на наших ошибках. Мы меняем характер ведения нашего бизнеса, обеспечивая целостность и безопасность данных при принятии любого решения, и мы прилагаем все усилия, чтобы заслужить доверие наших клиентов».

При этом Хосровшахи уточнил, что во время инцидента компания обратилась к злоумышленникам и «получила заверения», что они уничтожили полученные данные. В связи с этим Uber полагает, что каких-либо других злоупотреблений с похищенными в результате утечки данными не было. Кроме того, Uber предприняла ряд дополнительных мер для защиты своих аккаунтов, используемых для облачного хранения данных.

По мнению Джейсона Харта (Jason Hart), вице-президента и технического директора по решениям для защиты данных в Gemalto, в данном случае Uber имела возможность (и должна был) поступить несколько иначе:

В частности, в инциденте с утечкой данных Uber допустила следующие 3 ошибки: компании следовало быстрее сообщить об утечке, эффективнее использовать технологии шифрования в масштабах всего жизненного цикла данных, а также использовать технологии управления доступом, в том числе технологии строгой многофакторной аутентификации.

Заминка с публикацией информации о произошедшей утечке подрывает доверие пользователей, а также противоречит постулату о том, что подобные утечки, в результате которых злоумышленники получают доступ к хранящимся в облаке персональным данным, являются неизбежными.

Главная задача компании в этом случае должна заключаться не в том, чтобы скрыть факт утечек, и, как это ни парадоксально, даже не в том, чтобы предотвратить их.

Главное – сделать подобные утечки «безопасными» за счет использования более интеллектуального подхода к безопасности, где во главу угла ставятся данные. Этот подход подразумевает, что вы имеете полное представление о том, где именно находятся ваши важные данные, кто имеет к ним доступ, каким образом они передаются, а также когда и где они шифруются и дешифруются.

Все, что следовало сделать в случае с Uber, – это обеспечить безопасный доступ к данным и зашифровать их, и это ровно то, что следует требуется предпринять другим организациям в будущем, чтобы избежать подобных инцидентов.

Если компания хочет добиться более значимых успехов в борьбе с утечками данных, ей следует придерживаться новой философии в отношении обеспечения безопасности данных.

На протяжении десятилетий превалирующим подходом в кибербезопасности было создание так называемого «периметра безопасности» вокруг всех данных и сетей, который бы предотвращал доступ злоумышленников к этим ресурсам. Подобная стратегия предотвращения утечек оставалась краеугольным камнем в корпоративных стратегиях безопасности данных в течение нескольких десятилетий.

Наблюдаемая сегодня нескончаемая череда инцидентов говорит о том, что этот подход уже не является успешным, и сегодня компаниям следует обратиться к философии «безопасных утечек» (Secure the Breach). Это означает, что компаниям следует признать неизбежность утечек и перенести инструменты безопасности максимально близко к защищаемым данным и к пользователям, которые работают с ними. Такой подход подразумевает применение технологий шифрования для защиты всех хранящихся и передаваемых конфиденциальных данных, а также защищенное управление и хранение всех ваших ключей шифрования, централизованное управление доступом ко всем ресурсам и использование многофакторной аутентификации.

Встраивая механизмы безопасности непосредственно в защищаемые активы, вы сможете гарантировать, что даже в случае утечки информация будет защищена от злоумышленников.

Комментарии (1)


  1. foxin
    14.12.2017 14:40

    Наблюдаемая сегодня нескончаемая череда инцидентов говорит о том, что этот подход уже не является успешным

    ой ли? как работал так и работает. только раньше в код были зашиты данные доступа к внутренним сервисам, к которым не подступиться, а теперь — к доступным с внешки. и слить кода = слить данных. всё что нужно поменять — хранить отдельно все данные доступа, а не в коде. говорилось об этом 100500 раз.