image

Persoonlijke gegevens 50 miljoen Uber-klanten in 2016 gestolen

woensdag 22 november 2017, 09:29 door Redactie, 7 reacties
Laatst bijgewerkt: 22-11-2017, 11:51

Twee aanvallers hebben vorig jaar de gegevens van 50 miljoen Uber-klanten gestolen, alsmede de data van 7 miljoen chauffeurs. Uber betaalde de aanvallers 100.000 dollar om de gestolen data te verwijderen, aldus Bloomberg. Volgens Uber was de hack door twee personen uitgevoerd en wisten die namen, e-mailadressen en mobiele telefoonnummers te stelen.

In het geval van 600.000 Amerikaanse chauffeurs ging het ook om rijbewijsnummers. Ritgegevens, creditcardnummers, geboortedata, social security nummers of andere data zouden niet zijn buitgemaakt. In een pagina over het incident laat Uber weten dat het de twee personen in kwestie wist te identificeren en de garantie kreeg dat de gedownloade data werd vernietigd. Uber erkent dat het toezichthouders alsmede klanten destijds niet heeft ingelicht. Het bedrijf zegt alle chauffeurs en toezichthouders alsnog te zullen waarschuwen.

Volgens Bloomberg wisten de aanvallers toegang tot de private GitHub-pagina van Uber te krijgen. Inloggegevens die ze daar vonden werden gebruikt om toegang te krijgen tot data die Uber bij Amazon Web Services had opgeslagen, waaronder de data van klanten en chauffeurs. De aanvallers stuurden Uber vervolgens een e-mail waarin ze om geld vroegen. Vanwege het verzwijgen van het datalek heeft Uber chief of security Joe Sullivan en een andere medewerker gisteren op staande voet ontslagen.

Update

De Britse privacytoezichthouder ICO zegt zich zorgen te maken over het databeschermingsbeleid en ethiek van Uber. "Het is altijd de verantwoordelijkheid van het bedrijf om te achterhalen wanneer Britse burgers zijn getroffen door een datalek en maatregelen te nemen om de schade voor consumenten te beperken", aldus James Dipple-Johnstone van de ICO. "Het opzettelijk verbergen van datalekken voor toezichthouders en burgers kan hogere boetes voor bedrijven betekenen."

Reacties (7)
22-11-2017, 09:34 door xvilo
Geh, is ook niet echt bijzonder nieuws. Welk grote bedrijf wordt nu tegenwoordig niet gehackt. jammer is alleen dat de 'hackers' die deze lekken vinden soms niet aardig genoeg zijn om te zeggen: "Joh, je hebt een lek op X en we kunnen bij Y en Z. Fix dat eens even!"
22-11-2017, 11:54 door Anoniem
Door xvilo: Geh, is ook niet echt bijzonder nieuws. Welk grote bedrijf wordt nu tegenwoordig niet gehackt. jammer is alleen dat de 'hackers' die deze lekken vinden soms niet aardig genoeg zijn om te zeggen: "Joh, je hebt een lek op X en we kunnen bij Y en Z. Fix dat eens even!"
Ik mag hopen dat ze daar wel logs voor hebben..
22-11-2017, 13:09 door Anoniem
Waarom worden uberhaupt credit card
Door xvilo: Geh, is ook niet echt bijzonder nieuws. Welk grote bedrijf wordt nu tegenwoordig niet gehackt. jammer is alleen dat de 'hackers' die deze lekken vinden soms niet aardig genoeg zijn om te zeggen: "Joh, je hebt een lek op X en we kunnen bij Y en Z. Fix dat eens even!"


Dat helpt niet, Uber heeft miljarden te besteden, dit is gewoon een kwestie van prioriteiten stellen, gewoon hele bedrijf plat leggen. Dan wordt er pas serieus naar privacy en security gekeken.
22-11-2017, 13:39 door Anoniem
Dit is de tweede maal dat bij Uber persoonsgegevens lekken omdat ontwikkelaars slordig zijn met administrator gegevens op GitHub. En ook nu gaven de gegevens toegang tot persoonsgegevens van de Uber productie omgeving bij Amazon.

De eerste keer was in mei 2014. De Federal Trade Commission kwam afgelopen zomer tot het oordeel dat er bij Uber heel veel gebrek is aan beveiliging maar Uber doet in communicatie wel geloven dat ze persoonsgegevens goed beveiligen.

Uber bestaat sinds 2009 en pas in 2015, meer dan een jaar na het eerste lek, hebben ze hun eerste security officer in dienst genomen. Een voormalig federal prosecuter. De onlangs vervangen CEO wist van het lek maar het kwam ze tijdens het onderzoek van de FTC naar de gang van zaken van het 2014 lek beter uit om geld te betalen om er over te zwijgen.

Het nu ontslaan van de chief security officer lijkt verdacht veel op een makkelijke uitweg voor zowel Uber als de chief security officer. Kunnen ze als goedkoop verweer gebruiken dat ze nog meer maatregelen hebben getroffen om de bescherming van de persoonsgegevens te verbeteren.

Een boete die er nu wel aan zit te komen zal niet snel indruk maken op de investeerders als Google en Baidu. De klanten van Uber blijven de dienst toch massaal gebruiken omdat het goedkoop is en de chauffeurs verdienen makkelijk geld zonder veel te hoeven kunnen.
22-11-2017, 14:20 door Jan Smets - Bijgewerkt: 22-11-2017, 14:45
Drie dingen hadden hier beter gekund: snellere openbaarmaking, betere encryptie van gegevens in de gehele levenscyclus en het gebruik van access management, inclusief sterke authenticatie. Vertraging in de bekendmaking van een hack zorgt voor schade in de vertrouwensrelaties. Het doel moet niet zijn om inbreuken te verbergen of te voorkomen, het doel moet zijn dat inbreuken geen schade aan kunnen richten door een intelligentere aanpak van beveiliging waarin data centraal staat. Dit betekent dat men precies weet waar waardevolle gegevens zich bevinden, wie er toegang tot heeft, hoe het wordt getransporteerd en wanneer en waar het is ge(de)codeerd. Van de 1,9 miljard gegevens die wereldwijd in de eerste helft van 2017 zijn aangetast, was minder dan 1 procent versleuteld. Identiteitsdiefstal, de waarschijnlijke motivatie achter deze aanval, is de meest voorkomende vorm van schending. Het vertegenwoordigt 74 procent van alle datalekken in de eerste helft van 2017. Een flinke stijging ten opzichte van de vorige periode, toen was het 49 procent. Om dit te voorkomen was het alleen nodig om de toegang tot de data te beveiligen en de informatie te encrypten. En dit is precies wat organisaties in de toekomst moeten doen om dit te voorkomen.

– Jan Smets, Security Specialist bij Gemalto
22-11-2017, 16:09 door Anoniem
Drie dingen hadden hier beter gekund: snellere openbaarmaking.....
Dit had niet alleen beter gekund, het had veel sneller gemoeten.

Geheel terecht dat de chief van security ontslag heeft gekregen voor het verzwijgen van dit lek.
23-11-2017, 16:04 door Valheru
Door Anoniem:
Drie dingen hadden hier beter gekund: snellere openbaarmaking.....
Dit had niet alleen beter gekund, het had veel sneller gemoeten.

Geheel terecht dat de chief van security ontslag heeft gekregen voor het verzwijgen van dit lek.

Als (ex-) cso bij een overheidsleverancier durf ik te stellen dat de kans heel groot is dat hij het MOEST verzwijgen van de directie. Dat is mij ook overkomen, er werd een niet veilig app gelanceerd, klanten stelden vragen over de beveiliging bij mij (aangezien ik ook richting hun het aanspreek punt was over de security) en mijn baas stond naast me te vertellen dat ik wel moest zeggen dat alles veilig was, toen ik dit weigerde, omdat ik niet wou liegen want dat zou mij mijn security+ certified professional certificering kosten, werd ik er zo snel mogelijk uitgegooid daarna.

Note ik was aangenomen omdat ik bij een freelance security scan van hun systemen (in opdracht dus) in nog geen half uur hun mysql root wachtwoord wist te vinden en dat ook het root wachtwoord van al hun servers bleek te zijn.

Dus roep niet te snel dat hij een slechte SCO was, de kans is net zo groot dat hij gewoon bang was om werkeloos te worden en zich heeft laten intimideren door de directie van het bedrijf.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.