četrtek, 12. december 2024 leto 29 / št. 347
Uber zatajil vdor hekerjev
Hekerji so vdrli v sistem podjetja za prevoze potnikov Uber in mu ukradli podatke o več kot 50 milijonih uporabnikov njegovih storitev. A to je šele polovica slabe novice, kajti zgodilo se je lani, Uber pa je o tem javnost seznanil šele sedaj.
Kot so v torek sporočili iz Uberja, sta jim dva hekerja lani vdrla v sistem in dobila dostop do informacij o 57 milijonih uporabnikov. Dobila sta dostop do imen, elektronskih naslovov in telefonskih številk, ne pa tudi do številk kreditnih kartic, so poudarili. Ob tem sta hekerja prišla do podatkov o vozniških dovoljenjih okrog 600.000 voznikov v ZDA.
Ob tem sta hekerja prišla do podatkov o vozniških dovoljenjih okrog 600.000 voznikov v ZDA.
Uber svojih strank doslej ni obvestil o vdoru, prav tako ne pristojnih regulatorjev. Glavni izvršni direktor Uberja Dara Khosrowshahi pravi, da je za to izvedel šele pred kratkim. Na položaju je sicer šele od letošnjega avgusta.
Uber je odpustil svojega direktorja za varnost in še eno osebo. Khosrowshahi trdi, da so sprejeli ukrepe za zavarovanje podatkov in identificirali hekerja, vse kar sta ukradla, pa naj bi že uničili. Na kakšen način so to storili, ni povedal.
Tiskovna agencija Bloomberg in časnik New York Times poročata, da je Uber hekerjema plačal 100.000 dolarjev (približno 85.000 evrov), da bi uničila ukradene podatke. Državno tožilstvo v New Yorku je uvedlo preiskavo vdora.
Uber že doslej ni imel dobre javne podobe zaradi kopice obtožb o spolnih nadlegovanjih, izogibanju nadzoru regulatorjev, uporabi ukradene tehnologije od Googla in slabim preverjanjem kriminalne preteklosti svojih voznikov. Khosrowshahi pravi, da preteklosti ne more izbrisati, ampak lahko zagotovi, da se bodo učili na napakah.
Po besedah glavnega varnostnega raziskovalca pri družbi Kaspersky Lab Davida Emma je bil Uberjev odziv neodgovoren. "Plačilo podjetja kriminalcem predstavlja nevaren precedenčni primer, ki dodatno spodbuja nepridiprave k izsiljevanju," je posvaril v sporočilu za javnost. Povsem možno se mu zdi, da bomo v prihodnje videli še več primerov, ko bodo kriminalci izsiljevali podjetja za zasežene osebne podatke. Pri tem pa jim bodo podjetja za "tišino" plačala manj, kot pa znaša kazen pristojnega organa v primeru (ne)prijave incidenta, je dodal.
Emm ugotavlja, da je bilo v zadnjih letih kar nekaj primerov, ko so podjetja za nazaj obveščala o kršitvah varnosti zaupnih podatkov. "Takšni primeri le poudarjajo potrebo po ustrezni regulaciji področja varovanja osebnih podatkov," je zapisal.
Ob tem je spomnil na splošno uredbo o varstvu osebnih podatkov, ki med drugim določa, da podjetja najprej poskrbijo za ustrezno zaščito podatkov o svojih uporabnikih in nato pravočasno obvestijo njih in pristojne organe o morebitnih kršitvah varnosti zaupnih podatkov. Veljati bo začela maja 2018.
