Slab zgled: Uber plačal kriminalcem za izbris ukradenih podatkov

Več kot leto dni je Uber skrival veliki varnostni incident, poroča medijska hiša Bloomberg. Hekerji so jim namreč ukradli podatke o 50 milijonih potnikov in sedmih milijonih voznikov.

Uber je (šele) ta teden odpustil dva glavna zadolžena za varnost v podjetju, saj so ta dogodek prikrivali – tudi tako, da so napadalcem plačali zahtevanih sto tisoč ameriških dolarjev (okoli 86 tisoč evrov) za izbris ukradenih podatkov.

Finančnih podatkov naj ne bi ukradli

Oktobra lani ukradeni podatki so zajemali imena, e-naslove in telefonske številke 57 milijonov ljudi, a Uber je medijski hiši Bloomberg zatrdil, da podatki o davčnih številkah, kreditnih karticah, opravljenih vožnjah in drugih podrobnostih niso bili odtujeni. Med oskrunjenimi podatki pa je vendarle še okoli 600 tisoč podatkov o številkah vozniških dovoljenj, izdanih v ZDA.

Pri Uberju so prepričani, da zlorabe ukradenih podatkov ni bilo, a identitete napadalcev še vedno ne razkrivajo.

Že večkrat pod drobnogledom

Oktobra lani, ko se je zgodil napad, so Uber preiskovali še zaradi nekaterih drugih očitkov o domnevnih kršitvah zasebnosti. Danes pravijo, da bi v skladu z zvezno zakonodajo in zakonodajo številnih ameriških zveznih držav morali obvestiti regulatorje in voznike, katerih številke vozniških dovoljenj so nepridipravi neupravičeno dobili. Obljubljajo, da bodo spremenili svoj način poslovanja in da se jim to ne bo zgodilo.

Uberjevo ravnanje po kraji podatkov predstavlja nevaren precedens, saj so aktivno prikrivali ta incident in napadalce celo poplačali. Foto: Reuters

A to jih ne bo rešilo pred nadaljnjimi pravnimi postopki. Obeta se jim skupinska tožba zaradi malomarnosti, tudi tožilstvo v New Yorku in britanski regulator v Londonu sta sprožila vsak svojo preiskavo.

Uberjev nevaren precedens

Napad na Uber je kljub velikim številkam še vedno razmeroma majhen glede na uspešne računalniške napade, ki so jih v zadnjih letih utrpeli velikani, kot so Yahoo, MySpace in Target, opozarjajo pri Bloombergu.

Toda Uberjevo ravnanje predstavlja nevaren precedens, saj so aktivno prikrivali ta incident in napadalce celo poplačali.

Plačevanje odkupnine spodbuja nepridiprave

Uberjevo ravnanje ostro obsojajo tudi strokovnjaki računalniške varnosti. "Odziv podjetja Uber na dogodek je neodgovoren. Plačilo podjetja kriminalcem predstavlja nevaren precedenčni primer, ki dodatno spodbuja nepridiprave k izsiljevanju," je ogorčen glavni varnostni raziskovalec v podjetju za računalniško varnost Kaspersky Lab David Emm.

"Odziv podjetja Uber na dogodek je neodgovoren. Plačilo podjetja kriminalcem predstavlja nevaren precedenčni primer, ki dodatno spodbuja nepridiprave k izsiljevanju," je ogorčen glavni varnostni raziskovalec v podjetju za računalniško varnost Kaspersky Lab David Emm. Foto: Kaspersky Lab

Emm opozarja na veliko verjetnost še pogostejših tovrstnih napadov, ki pa se lahko prav tako končajo s tem najslabšim scenarijem, ki daje veter v hrbet računalniškim napadalcem.

"Splošna uredba o varstvu osebnih podatkov predvideva globo v višini štiri odstotke letnega prometa podjetja. Povsem možno je, da bomo v prihodnje videli še več primerov, ko bodo kriminalci izsiljevali podjetja za zasežene osebne podatke. Pri tem bodo podjetja za 'tišino' kriminalcem plačala manj, kot znaša kazen pristojnega organa v primeru (ne)prijave incidenta."

Jasna pravila in dosledno spoštovanje krepijo zaupanje

Velik pomen zato pripisuje nadaljnji ustrezni regulaciji področja varovanja osebnih podatkov. "Splošna uredba o varstvu osebnih podatkov (GDPR), ki se bo začela uporabljati maja 2018, obeta, da bodo podjetja najprej poskrbela za ustrezno zaščito podatkov o svojih uporabnikih in nato pravočasno obvestila njih in pristojne organe o morebitnih kršitvah varnosti zaupnih podatkov. To bo prispevalo zaupanju in ohranitvi ugleda v očeh uporabnikov."