Tegnap este robbant a bomba, amikor az Uber Technologies kénytelen volt elismerni, hogy hackerek tavaly betörtek a rendszerükbe, megszerezték összesen kb. 57 millió ügyfél és sofőr személyes adatait, és a vállalat mindezt eltitkolta, sőt százezer dollárt fizettek a támadóknak váltságdíjként, hogy azok semmisítsék meg az adatokat. Mivel sem az érintetteket, sem az illetékes hatóságokat nem értesítették a biztonsági incidensről, megszegték az érvényes amerikai törvényeket, így felelősségre vonásra számíthatnak – nemcsak az USA-ban, hanem mindenütt a világon, ahol hasonló előírások léteznek –, a New York-i ügyészi hivatal már meg is indította a vizsgálatot, emellett egy ügyfelük szinte azonnal csoportos pert kezdeményezett az Uber ellen.
A támadás 2016 őszén történt, a behatolók neveket, e-mail címeket és telefonszámokat szereztek meg – a Bloomberg hírügynökséggel az Uber azt közölte, hogy nagyjából 50 millió felhasználó, utas adatai kerültek ki, illetve hétmillió szerződött sofőré, melyek közül kb. 600 ezer amerikai sofőr, akinek így az USA-ban kiemelten érzékeny adatnak számító jogosítványszáma is kompromittálódott. A vállalat állítja, hogy sem társadalombiztosítási számok, sem bankkártyaadatok, sem utazási információ, illetve egyéb érzékeny adatok nem kerültek a hackerek birtokába. Az USA több államában, illetve szövetségi szinten is vizsgálat alatt álló Uber azt is elismerte, hogy nem tettek eleget bejelentési, valamint értesítési kötelezettségüknek, de információik szerint az adatokat nem használták fel. Azt a kérést elutasították, hogy fedjék fel a támadó identitását, úgy tudni, az illetők korábban az Uber alkalmazottai voltak.
Maga a betörés egyébként úgy történt meg, hogy két hacker hozzáfért egy olyan privát GitHub-oldalhoz, amelyet az Uber szoftverfejlesztői használtak, majd a megszerzett bejelentkezési adatokkal továbbléptek egy Amazon Web Services-fiókhoz, ahol a mérnökök a vállalati munkához szükséges információkat, megvalósítandó feladatokat tárolták. Innen még tovább léptek, és megtaláltak egy archívumot, ahonnan le tudták tölteni a sofőrök és az utasok adatbázisát. Ezek után küldték el a zsaroló levelet.
A hírügynökség tudomása szerint az Uber akkori vezetője Travis Kalanick novemberben szerzett tudomást az október támadásról – a volt vezérigazgató nem kívánta kommentálni a történteket. A vállalat biztonsági főnöke, a korábbi szövetségi ügyész, az Ubernél 2015 óta dolgozó Joe Sullivan vezényelte le a betörés kezelését – Sullivan és csapata tevékenységével az igazgatótanács egyébként elégedetlen, így nemrég egy külső jogászcéget kértek fel munkájuk auditálására.
Dara Khosrowshahi, az Uber jelenlegi vezetője nem kívánt bocsánatot kérni a történtek miatt, annyit közölt, hogy az incidens idején azonnal megtettek minden szükséges lépést, azóta is monitorozzák az érintett fiókokat, majd újabb biztonsági intézkedéseket vezettek be. Khosrowshahi közleményében kitér arra, hogy az eset miatt a vizsgálatot ő maga kezdeményezte, és két embert, köztük a biztonsági vezetőt, már el is bocsátottak az ügyből kifolyólag.
Mivel a történteknek lehetnek magyar érintettjei is, megkerestük a Nemzeti Adatvédelmi és Információszabadság Hatóságot (NAIH), és amennyiben választ kapunk, természetesen beszámolunk róla.
