- 23 November 2017
- |Securitate digitala
- | 0
- 2,201
[Update 24 noiembrie 2017] Imediat ce stirea privind atacul informatic asupra Uber a fost publicata pe Bloomberg si pe majoritatea site-urilor mari de media, hackerii au inceput sa profite de pe urma bresei de date. Scroll down si afla cum profita hackerii de bresa de securitate.
Uber a platit hackerilor suma de $100.000 pentru a sterge informatiile si pentru a mentine secreta bresa de securitate
Hackerii au furat date personale ale 50 de milioane de utilizatori ai aplicatiei si 7 milioane de soferi. Printre datele personale furate se numara nume, adresa de email si numere de telefon, precum si numele si numerele de inmatriculare a 600.000 de soferi din Statele Unite.
Va intrebati, pe buna dreptate, daca au fost furate si date mai sensibile, precum locatie, carduri de credit, conturi bancare sau data nasterii. Ei bine, Dara Khosrowshahi, CEO-ul companiei, a afirmat ca aceste informatii nu au fost compromise.
Cum s-a produs bresa de securitate?
Atacul informatic a fost posibil dupa ce doi hackeri au obtinut credentialele de login si au putut acesa datele stocate in contul Uber din AWS (Amazon Web Services). Va puteti imagina ca o companie precum Uber, care stocheaza si prelucreaza datele a milioane de persoane, aveau aceste date necriptate?
Orice inginer in securitate v-ar putea spune ca acest lucru este pur si simplu inadmisibil si pentru companii mai mici, daramite pentru un colos global precum Uber.
Uber declara ca a obtinut asigurari din partea hackerilor ca acele date descarcate din cloud au fost distruse.
Mai mult, compania a luat deja doua masuri importante: 1) a imbunatatit securitatea datelor in companie (desi nu se stie clar ce inseamna acest lucru) si 2) au fost gasiti doi tapi ispasitori care au fost concediati pentru ca au tinut ascuns acest eveniment cu impact major asupra clientilor companiei. Printre acestia se numara Joe Sullivan, Chief Security Officer.
Despre obligativitatea de a raporta un atac informatic
Conform legislatiei din Statul California, locul de bastina al companiei care a primit o serie de lovituri in ultimii ani, companiile sunt obligate sa anunte rezidentii statului cu privire la orice bresa de date personale necriptate. Mai mult, compania este obligata sa raporteze catre procurorul general aceasta bresa in cazul in care mai mult de 500 de rezidenti sunt afectati de atac.
Faptul ca Uber a decis sa ascunda aceasta bresa si a reusit sa faca asta timp de 1 an de zile nu face decat sa le afecteze si mai mult credibilitatea si sa-i puna in carca inca o problema curajosului CEO, care a preluat compania cu o lista destul de lunga de provocari.
A fost deschisa o investigatie asupra bresei de date insa la aceasta ora nu se cunosc consecintele pe care compania le va suferi.
In Statele Unite curtile federale trateaza in diferite moduri litigiile judiciare ce implica brese de date. Exista curti federale care permit indiviziilor sa intenteze un proces unindu-se intr-un grup, daca acea bresa de date provoaca riscuri mai mari de a avea identitatile furate. In acelasi timp, alte curti judecatoresti solicita celor care depun plangere sa demonstreze ca datele lor personale au fost intr-adevar au fost utilizate intr-un mod nepotrivit.
Daca s-ar fi intamplat in UE dupa 25 mai 2018?
O data cu adoptarea GDPR in 25 mai 2018, companiile care stocheaza sau prelucreaza informatii referitoare la cetateni ai Uniunii Europene vor fi obligate sa raporteze la autoritatea nationala de supraveghere orice bresa de date in maxim 72 de ore.
Mai mult, aceste companii sunt obligate sa anunte si cetatenii in cazul in care acea bresa are posibilitatea sa aiba un impact cu risc major asupra acestora.
Ce risca o companie intr-o astfel de situatie in care hotaraste sa nu anunte bresa? Pai, simplu: in momentul in care se afla public despre bresa, compania este pasibila de:
- Amenda pentru ne-aliniere la legislatie in ceea ce priveste masurile de protectie necesare (pana la 2% din cifra de afaceri globala sau 10.000.000 EUR)
- Amenda pentru nerespectarea obligativitatii de a anunta autoritatea responsabila in maxim 72 de ore
- Daune obtinute in instanta de catre cetatenii prejudiciati
- Pierderi de credibilitate, prestigiu, etc. despre care oricine iti poate spune ca sunt incalculabile.
Asadar, daca ai fi tu in situatia managerului responsabil, ce decizie ai lua?
Ce te costa mai mult – o investitie care te poate proteja de aceste consecinte neplacute sau suma tuturor cifrelor de mai sus?
Oricare ar fi raspunsul tau, GDPR va intra in vigoare pe 25 Mai 2018. Incepand de atunci, orice afacere care proceseaza date personale devine mult mai vulnerabila – nu numai in fata hackerilor ci si in fata oricarei persoane fizice care considera ca i-au fost incalcate drepturile.
Cum profita hackerii de pe urma bresei de securitate?
Cu toate ca nu au acces la conturile furate, acestia au gasit metode de a face capital din breach trimitand email-uri de phishing utilizatorilor Uber cu scopul de a le fura parolele.
Multi dintre cei care au primit astfel de email-uri SCAM (care practic cer utilizatorilor sa-si schimbe parola la contul Uber) au postat deja pe retelele sociale avertizari pentru ca utilizatorii sa nu pice in plasa hackerilor.
Printre ei se numara si Dale Meredith, consultant in securitate IT, care a postat aceasta imagine pe Twitter:
Hackerii care au reusit sa obtina parole ale clientilor Uber s-ar putea folosi de aceste informatii pentru a calatori cu Uber pe distante mari pe banii clientului furat sau ar putea vinde detaliile furate pe piata neagra a conturilor Uber (da, se pare ca exista o astfel de piata).
Pe piata neagra, un cont Uber se vindea in 2015 cu $1 dar pentru ca oferta a crescut considerabil in ultimii doi ani, acesta a ajuns sa valoreze in prezent doar 40 de centi.
Asadar, mare atentie la orice email si mesaj primiti din partea Uber in aceasta perioada. Inainte de a actiona, este preferabil sa intrebati specialistii in securitate via social media.
Credit imagine: Adam Fagen