Gdzie są dane Ubera?

Jak pisze na swoim blogu Trend Micro (blog.trendmicro.pl) – świat cyberbezpieczeństwa był zaszokowany, gdy firma Uber ujawniła, że zapłaciła hakerom 100 000 dolarów za usunięcie skradzionych w zeszłym roku danych 57 milionów użytkowników.

Włamanie do Ubera miało miejsce „pod koniec 2016 roku” i doprowadziło do wycieku imion i nazwisk, adresów e-mail i numerów telefonów komórkowych 57 milionów użytkowników, w tym siedmiu milionów kierowców. Jak mówi dyrektor generalny firmy Dara Khosrowshahi, wyciekły też informacje z praw jazdy 600 000 kierowców ze Stanów Zjednoczonych. Bez odpowiedzi pozostaje wiele pytań. Przede wszystkim: czy hakerzy dotrzymali słowa i zniszczyli wszystkie skradzione dane, a także czy zdobyli tylko imiona i nazwiska, adresy e-mail, numery telefonów i informacje z praw jazdy.

Atak zaczął się od uzyskania przez dwie osoby dostępu do używanego przez pracowników Ubera prywatnego konta w serwisie GitHub. Według serwisu Bloomberg te dwie osoby znalazły tam dane uwierzytelniające umożliwiające dostęp do konta Ubera w serwisie Amazon Web Services (AWS), a tam znalazły ogromną ilość danych kierowców i pasażerów.

http://branden.biz/index.php/2017/06/23/uber-planuje-dalszy-rozwoj-w-polsce/

Podział odpowiedzialności

Wynika z tego kilka wniosków:

  • Do ochrony tak poufnych danych nie należy nigdy używać połączenia nazwy użytkownika ze statycznym hasłem.
  • Firmy powinny jak najszybciej informować odpowiednie organy ścigania o wycieku danych.
  • Nie wolno płacić okupu hakerom.
  • A przede wszystkim firmy powinny odpowiednio zabezpieczać swoje środowiska chmurowe.

W swoim oświadczeniu Khosrowshahi stwierdza, że po zatuszowanym incydencie z zeszłego roku Uber „wdrożył środki bezpieczeństwa ograniczające dostęp do kont w usługach pamięci masowej w chmurze i zapewniające lepszą kontrolę nad tymi kontami”. Przypuszczalnie środki te objęły wprowadzenie jakiegoś rodzaju uwierzytelniania wieloelementowego oraz zasady minimum uprawnień. Problem w tym, że są to najlepsze procedury, które powinny być stosowane od samego początku.

Takie stwierdzenie budzi pewne wątpliwości, bo próbuje się tu oddzielić własną infrastrukturę firmy od jej konta AWS. W rzeczywistości usługi chmurowe używane przez firmę automatycznie stają się częścią jej infrastruktury i muszą być tak samo chronione. AWS bardzo wyraźnie stwierdza, że zgodnie z modelem podziału odpowiedzialności dba tylko o sprzęt, oprogramowanie, sieci i nieruchomości, dzięki którym działają usługi chmurowe — dba o „bezpieczeństwo chmury”. Odpowiedzialność za całą resztę, w tym dane użytkowników i aplikacje, spoczywa na klientach AWS.

RODO

Nie wiemy, jaką karę na podstawie przepisów RODO musiałby zapłacić Uber, gdyby taki wyciek miał miejsce po 25 maja 2018 r. Za niepowiadomienie o poważnym wycieku danych grozi kara w wysokości do 10 milionów euro lub do 2% rocznego globalnego obrotu firmy. Patrząc na przychody Ubera w 2016 roku, byłoby to około 130 milionów dolarów.

Ponieważ firma nie stosowała najlepszych procedur branżowych w dziedzinie kontroli dostępu i bezpieczeństwa w chmurze, kara mogłaby być jeszcze większa. Przesłanie dla wszystkich osób kierujących firmami lub odpowiadających za IT jest jasne: używanie usług chmurowych nie zwalnia od odpowiedzialności za bezpieczeństwo — wręcz przeciwnie. Ochrona wszystkich danych osobowych przechowywanych w różnych miejscach wymaga bardzo dużo uwagi.

http://branden.biz/index.php/2017/09/04/5189/