Uber dekket opp massive hack som utsettes data av 57m brukere og drivere

Firmaet betalte hackere $100,000 for å slette data og holde brudd rolig
Chief security officer Joe Sullivan sparken for å skjule oktober 2016 brudd

i San Francisco

@juliacarriew

e-post

Onsdag 22 November 2017 02.03 GMT

Første gang publisert på tirsdag 21. November 2017 22.53 GMT

Uber skjuler det seg en massiv global brudd av personlig informasjon på 57 millioner kunder og drivere i oktober 2016, unnlate å varsle personer og myndigheter erkjente selskapet tirsdag.

Uber også bekreftet det hadde betalt hackere ansvarlig $100,000 for å slette data-og holde brudd rolig, som ble først rapportert av Bloomberg.

“Ingenting av dette burde ha skjedd, og jeg vil ikke komme med unnskyldninger for det,” Uber chief executive Dara Khosrowshahi sa i en uttalelse erkjenne brudd og cover-up. “Mens jeg ikke kan slette det siste, jeg kan forplikte seg på vegne av alle Uber ansatt som vi vil lære av våre feil.”

Data firma som jobbet for Trump bedt om WikiLeaks å dele hacket e-post

Les mer

Hackere stjal personlig data som navn, e-postadresser og telefonnumre, samt navn og førerkortnummer av rundt 600.000 drivere i Usa. Selskapet sa mer sensitiv informasjon, for eksempel plassering av data, kredittkortnumre, bankkontonumre, personnummer, fødselsdato, ikke hadde blitt kompromittert.

I sin uttalelse, Khosrowshahi sa selskapet hadde “fått forsikringer om at de nedlastede dataene som hadde blitt ødelagt” og forbedret sin sikkerhet, men at selskapet er “unnlatelse av å varsle berørte personer eller myndigheter” hadde tvunget ham til å ta flere skritt, inkludert avgang av to av de ansatte som har ansvar for selskapets 2016 respons.

Uber chief security officer Joe Sullivan var en av de to ansatte som forlot selskapet, Bloomberg rapporterte.

Selskapet unnlater å offentliggjøre bruddet var “amateur hour”, sa Chris Hoofnagle av Berkeley Center for Law og Teknologi. “Den eneste måten man kan ha direkte ansvar under sikkerhetsbrudd varsling vedtektene er å ikke gi beskjed. Dermed er det liten mening å dekke opp et brudd.”

Under California stats lovgivning, for eksempel bedrifter er pålagt å varsle innbyggere i staten for brudd på ikke-personlig informasjon, og må informere justisministeren hvis mer enn 500 innbyggere er påvirket av en enkelt brudd.

“Hack og dekke opp er typisk Uber bare bry seg om seg selv,” sier Robert Dommer, en Uber driver i Pittsburgh, som sa han hadde ennå til å motta kommunikasjon fra selskapet. “Jeg fant ut gjennom media. Uber ikke komme ut i front av ting, de skjule dem.”

Uber sa i en uttalelse til drivere som det ville gi de berørte gratis kreditt overvåking og beskyttelse mot identitetstyveri.

Ifølge Bloomberg, bruddet oppstod når to hackere fikk påloggingsinformasjon for å få tilgang til data som er lagret på Uber er Amazon Web Services-konto. Paul Lipman, administrerende DIREKTØR i cybersecurity firmaet BullGuard, sa at det holder at det faktum at dataene ble lagret ukryptert var “utilgivelig”.

“Det er bare en komplett feilsteg fra en informasjonssikkerhet synspunkt,” la han til.

New York state riksadvokatens kontor har åpnet en etterforskning av datainnbrudd, en talskvinne bekreftet.

Uber potensial sivil ulydighet fra bruddet er komplisert av det faktum at usas’ ulike føderale appellate domstolene er fordelt over hvordan til å behandle data brudd søksmål. Noen domstoler lar enkeltpersoner til å delta class action søksmål hvis de er rett og slett større risiko for å ha sin identitet stjålet på grunn av et brudd, mens andre domstoler krever saksøkerne for å vise at deres personlige informasjon som faktisk har blitt misbrukt.

I juni, syketrygd Anthem avgjort tvister over en 2015 brudd som påvirker 79 millioner mennesker for en oversikt $115m.

“Non-disclosure gir en praktisk risiko i hundrevis av millioner mennesker,” sa Hoofnagle, som bemerket at selskaper kan betale tredjeparter til å håndtere radioaktivt nedfall fra et sikkerhetsbrudd, inkludert varsler, for avgifter på flere titalls millioner. “Her er de gode nyhetene: drivere vil til slutt presse penger ut av Uber.”

Hack og påfølgende fortielse er bare den siste i en rekke skandaler og kriser som Khosrowshahi arvet fra sin forgjenger, Travis Kalanick, som ble tvunget ut av $68bn oppstart i juni.

Året startet med trend-setting #DeleteUber viral kampanje for boikott, som oppsto etter at selskapet ble anklaget for å utnytte en New York taxi drivers’ work stoppage “å protestere Trump’ s travel ban.

Uber lanserer appell mot tap av London lisens

Les mer

Så i februar, tidligere ansatt Susan Fowler publisert et blogginnlegg som påstås å være en gjennomgripende kultur diskriminering av kjønn og seksuell trakassering i selskapet.

Den neste måneden så en New York Times rapporterer at for år Uber hadde kjørt et hemmelig program for systematisk lure rettshåndhevelse tjenestemenn i byer der sin tjeneste brutt regelverket. Tjenestemenn forsøkte å praie en Uber under en sting operasjonen var “greyballed”; de kan se ikoner av biler i app navigere i nærheten, men ingen ville komme og plukke dem opp.

Fowler er blogginnlegg du blir bedt om det Uber til kommisjonen på en etterforskning av sin arbeidsplass kultur, og førte til en offentlig utsendelsen av oppstart mye skittentøy. Selskapet hadde eksplodert til sin posisjon som den høyeste verdi oppstart og dominerende tur-hagl-appen ved å trosse regler og forskrifter, men post-Fowler reckoning så minst 20 ansatte sparken, og selskapet erkjenner at det er nødvendig å endre. Det førte også til slutt ousting av Kalanick seg selv.

Khosrowshahi vises den nye forsonende stil i September når Transport for London bestemte seg for ikke å fornye sin lisens til å operere i London. “Vi har fått ting galt underveis,” KONSERNSJEFEN sa på den tiden. “På vegne av alle på Uber globalt, jeg be om unnskyldning for de feil vi har gjort.”