Компания Uber раскрыла (https://www.uber.com/newsroom/2016-data-incident) информацию о произошедшем в октябре 2016 года инциденте, в результате которого злоумышленники получили доступ к данным в облаке Amazon AWS и смогли загрузить сведения о 600 тысячах водителей и 57 млн пассажиров сервиса.
Взлом был произведён путём перехвата параметров входа в приватную секцию GitHub, в которой разрабатывалось программное обеспечения для работы сервиса. В составе кода атакующие нашли параметры аутентификации для Amazon AWS S3 и подключившись к ним смогли загрузить актуальные данные о пользователях (https://help.uber.com/h/12c1e9d1-4042-4231-a3ec-3605779b8815) и водителях (https://help.uber.com/h/0ded7de4-ed4d-4c75-a3ee-00cddeafc372). В загруженных данных фигурировали ФИО, номера водительских удостоверений (для водителей), email и номера телефонов. По заверению представителей Uber сведения о местоположении, история передвижения, параметры счетов, коды кредитных карт и номера социального страхования не пострадали.
Особенностью инцидента стало то, что Uber пошёл на поводу у атаковавших и выплатил им 100 тысяч долларов в обмен на обещание удалить полученную информацию и не сообщать о произошедшем. Гарантией исполнения обещания стало то, что удалось выяснить личности атаковавших и в случае неисполнения обязательства им грозил серьёзный срок заключения. Передача денег была оформлена как выплата вознаграждения за участие в программе по выявлению уязвимостей (Uber Engineering Bug Bounty (https://eng.uber.com/bug-bounty/)), подразумевающей подписание соглашения о неразглашении.
Информация о взломе раскрыта после вступления на пост нового руководителя компании, который считает недопустимым сокрытие подобных инцидентов. Новый CEO также уволил курирующего оформление сделки юриста и попросил покинуть свой пост руководителя службы безопасности.
Сведения о выплате и увольнениях получены (https://www.bloomberg.com/news/articles/2017-11-21/uber-conc...) изданием Bloomberg из своих источников.
URL: https://www.bloomberg.com/news/articles/2017-11-21/uber-conc...
Новость: https://www.opennet.ru/opennews/art.shtml?num=47608