На этой неделе руководство сервиса Uber заявило о краже киберпреступниками данных 57 млн водителей и клиентов компании. Именно такое число аккаунтов оказалось скомпрометированным. Взлом был произведен не сейчас, а около года назад. Злоумышленники, которые взломали сервера компании, еще и получили от нее $100 000.
Это, как оказалось, была своего рода сделка между службой безопасности компании и взломщиками. Сделка проводилась главой отдела сетевой безопасности Uber Джо Салливаном, а за ее исполнением присматривал экс-глава компании Трэвис Каланик. Детали этой истории раскрыли сотрудники Uber, пожелавшие остаться неизвестными.
Стоит отметить, что главу отдела безопасности компания уволила еще в июне.
Что касается злоумышленников, то их было всего двое. Они украли большое количество данных о водителях и клиентах компании, включая номера мобильных телефонов, e-mail и имена. Кража была осуществлена с сервера, принадлежащего третьей стороне. После взлома хакеры потребовали $100 000 с тем, чтобы сохранить информацию на сервере, а не удалить ее.
Кибератака проходила следующим образом: взломщики изначально получили доступ к сервису GitHub, с которым работают программисты Uber. Затем, загрузив учетные данные сотрудников компании, злоумышленники смогли зайти на аккаунты Uber в Amazon Web Services. Именно этот сервис от Amazon обрабатывал вычислительные задачи транспортного сервиса. И уже там хакеры получили архив с данными по клиентам компании и водителям.
Компания не просто выполнила требования преступников, но пошла даже дальше. Она выследила киберпреступников, но вместо наказания представители Uber решили заставить подписать взломщиков соглашение о неразглашении проблемы. Ну а «вознаграждение» было проведено по документам, как выделение средств участникам bounty-программы. Якобы эти участники нашли уязвимость одного из сервисов и сообщили о ней в Uber. Собственно, все почти так и было, за исключением того, что сервера Uber были взломаны.
Условия сделки так и остались бы неизвестными, если бы совет директоров не начал проводить расследование относительно бизнес-приемов, используемых в Uber.
«Недавно я узнал, что в конце 2016 года нам стало известно, что два человека вне компании неправильно работали с пользовательскими данными, размещенными на стороннем облачном хранилище, которое мы используем. Этот инцидент не нарушил наши корпоративные системы или инфраструктуру», — написал новый генеральный директор Uber Дара Хосровшахи.
В принципе, взлом серверов компании нельзя считать чем-то из ряда вон выходящим. До Uber злоумышленники взламывали защиту Yahoo, Equifax и многих других компаний. Последствия во многих случаях были гораздо печальнее произошедшего с Uber.
Но, скрыв факт взлома, руководство сервиса нарушило сразу несколько законов США, а также подставило под удар водителей и клиентов. Репутационный вред может быть очень высоким. Пока что капитализация компании оценивается в $70 млрд, но эта сумма может стать значительно меньшей, если расследование относительно Uber будет продолжаться. Сейчас правоохранители Нью-Йорка планируют начать проводить активную сыскную работу. Расследование уже начато, и скорее всего, в скором времени его не закончить.
«Ничего из этого не должно было случиться, и я не ищу оправданий. Хотя я и не могу вырезать прошлое, я могу сказать, что сейчас мы сделаем выводы из ошибок. Мы меняем способ ведения бизнеса, и случившееся — одна из причин, побудивших нас сделать это», — говорит Хосровшахи.
Представитель Каланика отказался от комментариев. Тем не менее, рано или поздно ему все же придется ответить на вопросы журналистов и деловых партнеров. В бытность свою руководителем компании стиль работы Каланика вызывал много вопросов. С ним даже судился один из первых инвесторов компании. Этот судебный процесс был закрыт совсем недавно.
Взлом серверов Uber — большая репутационная проблема для Салливана, ответственного за информационную безопасность компании в течение нескольких лет. Он стал главой отдела по информационной безопасности компании в 2015 году. До этого Джо Салливан работал на аналогичной должности в течение семи лет.
Интересно, что ранее Салливан работал юристом, изучая тонкости законодательства информационной сферы в Университете Майами. Изначально присоединение Салливана к Uber рассматривалось, как отличное решение. Количество водителей и клиентов росло, поэтому росла озабоченность всех, кто был связан с Uber относительно защиты личной информации.
После ухода Салливана с ним ушел еще один высокопоставленный менеджер, отвечавший за юридические нюансы работы Uber. Речь идет о Крейге Кларке.
Решение компании заплатить взломщиков вызвало ряд вопросов у специалистов по кибербезопасности. Дело в том, что платить злоумышленникам считается последним вариантом, худшим из всех возможных. «Компании, которые платят злоумышленникам, поддерживают сферу киберпреступности. Хорошие парни создают рынок для плохих парней. Выплачивая плохим парням деньги, мы позволяем подросткам заниматься взломом компании for fun», — заявил Кевин Бюмонт, эксперт по информационной безопасности из Британии.
Для Uber все это — весьма нежелательная ситуация, которая может повредить компании при выходе на IPO в 2019 году. Этот этап является для компании настолько важным, что его даже называют «Uber 2.0».
Вообще говоря, текущий момент — самый неподходящий для вскрытия дела со взломщиками. Дело в том, что прямо сейчас Uber старается завершить сделку с японской компанией SoftBank Group Corp. Суть сделки в том, что японцы инвестируют $10 млрд в Uber, получая за это 14% транспортной компании. В прошлом месяце были заявлены предварительные условия сделки, которые, впрочем, еще могут измениться.
Один из вопросов, которые появились сейчас — это может ли Softbank потребовать от Uber занизить требования и уменьшить сумму за долю в компании. Источник, близкий к участникам сделки, говорит, что компания не собирается отказываться от сделки, но планирует получить более выгодные условия. Что именно потребуют японцы — пока неясно.
Еще один вопрос — что случится с Калаником в ближайшем будущем. Он ушел с поста главы Uber не сам, ему пришлось покинуть должность из-за давления инвесторов, которые были недовольны стилем его руководства. Каланик до сих пор является членом совета директоров и держателем значительного пакета акций.
Делом Uber займутся одновременно Британия, Австралия и Филиппины. Речь идет, в первую очередь, о лицензировании деятельности компании в этих странах. Канада также задаст руководству несколько официальных вопросов о происшествии, но расследование власти этой страны начинать не будут.
Регуляторы из США заявили о «пристальном внимании» за ходом развития ситуации. Скорее всего, некоторые штаты все же начнут расследование после того, как откроется больше деталей.
В США Uber придется иметь дело, по крайней мере, с двумя групповыми исками, которые были поданы пользователями платформы после того, как стало известно о взломе. Uber после всего этого только оставалось ответить, что «компания сотрудничает с FTC и властями нескольких штатов для обсуждения взлома и последующих действий».
Крейга Кларка, о котором уже шла речь выше, уволили именно по причине невыполнения прямых своих обязанностей. Совет директоров сейчас начал проверку действий Салливана и его команды, которая скрыла взлом. Уже известно, что специальный комитет по расследованию происшествия, сформированный советом директоров Uber, выяснил, что руководители компании год назад не советовались о правомерности и необходимости принять те либо иные меры, а сделали все по-своему. С другой стороны, сейчас совет директоров может говорить что угодно, но вряд ли произошедшее никого, кроме пары человек, стоявших «у руля», не коснулось.
Сейчас Хосровшахи говорит, что компания получила от взломщиков заверения в том, что все загруженные ими с северов AWS данные были уничтожены. Пока остается лишь следить за дальнейшим развитием событий.
Комментарии (11)
vassabi
23.11.2017 22:05непонятно (ну то есть понятно — чтобы обвинить и начать доить на $$), почему смешивают выплату анонимным хакирам (что действительно последнее дело, и никто в своем уме этого не делает), с выплатой вознаграждения «в белую» и заключением NDA (т.е. и подписью и реквизитами!).
Вон давеча на хабре о подобном писали, и там чел их послал. Так то не убер, а китайцы какие-то — потому и не справились.
Zidian
23.11.2017 22:17А по-моему, далеко не самое плохое решение как для клиентов компании. У хакеров появилось сразу несколько более чем весомых причин не разглашать и никак не использовать их данные.
Trumanbaz
23.11.2017 23:29«Сейчас Хосровшахи говорит, что компания получила от взломщиков завершения в том, что все загруженные ими с северов AWS данные были уничтожены»
Мне вот интересно, как можно подтвердить, что ты уничтожил все загруженные с AWS данные? И особенно все их копииAlcpp
24.11.2017 01:06Честное слово взломщика.
Protos
24.11.2017 09:02Тем более что их якобы вычислили и рисковать и е имеет смысла — сядут в тюрьму
Trumanbaz
24.11.2017 12:29Выходит, что взломщики просто подписали документ, что будут виновны и понесут наказание в случае, если данные где-нибудь всплывут. Так что удалить все копии было в интересах самих взломщиков, чтобы предотвратить случайную утечку.
Тем не менее, всё ещё интересно как они подтвердили для Uber уничтожение данных. Неужели как в кино — разломали флешку?
Incidence
24.11.2017 01:37решили заставить подписать взломщиков соглашение о неразглашении проблемы
Так они NDA подписали тоже анонимно? )
omgiafs
Не скрыл.
Ваш К.О.