Халатное отношение к пользователям: как личные данные клиентов Uber оказались у хакеров

Хакеры получили доступ к личным данным порядка 57 миллионов пассажиров и водителей одноименного мобильного приложения для вызова такси. Инцидент произошел еще в октябре 2016 года. О произошедшем сообщило агентство Bloomberg со ссылкой на источники в компании, в Uber подтвердили эту информацию.

В руках злоумышленников оказались электронные адреса и номера мобильных телефонов 50 миллионов пассажиров по всему миру, а также данные о семи миллионах таксистах. В Uber заверяют, что информация о кредитных картах и маршрутах поездок к хакерам не попала. При этом злоумышленникам удалось получить номера удостоверений 600 тысяч водителей из США.

Примечательно, что киберпреступники не стали вкладывать информацию в Сеть, а сразу начали шантажировать руководство Uber. Не желая распространения скандала, который мог бы нанести существенный ущерб престижу компании, американский концерн заплатил 100 тысяч долларов хакерам за неразглашение информации о взломе. Комментируя инцидент, глава Uber Дара Хосровшахи рассказал, что сервис не будет искать оправданий и в ближайшее время собирается «изменить способ ведения бизнеса».

Схема взлома оказалась несложной: сначала злоумышленники получили доступ к частному сайту кодирования GitHub, где хранились пароли к учетной записи Amazon Web Services, которая отвечает за обработку вычислительных задач для компании. Оттуда хакеры и похитили архив личных данных водителей и клиентов.

Скорее всего, программисты Uber нарушили требования безопасности, что и привело к тому, что данные сотен клиентов попали в руки мошенникам, рассказал в беседе с «360» генеральный директор Zecurion Алексей Раевский.

Такие атаки довольно сложны, поскольку являются многоуровневыми, а подготовка к ним и сама атака могут длиться в течение нескольких месяцев, рассказал «360» эксперт по информационной безопасности компании «Монитор Безопасности» Тарас Татаринов. «Сейчас существует два основных направления монетизации преступлений киберзлоумышленников — это прямая кража денег и шантаж тех компаний, которые не хотят, чтобы общественность узнала о их несовершенной системе безопасности. Именно высокая прибыль за взлом подстегивает хакеров красть не только финансовую информацию пользователей, но и их персональные данные», — отметил собеседник «360».

Хакеры атакуют

С начала 2017 года от рук хакеров пострадали около шести миллиардов пользователей по всему миру, свидетельствуют результаты исследования американского аналитического агентства Risk Based Security. Аналитики компании подсчитали, что более 93% данных, пострадавших от уязвимости системы защиты, пришлось на корпоративный сектор, в то время как правительственные данные составили 3%.

Чаще всего для кражи персональной информации кибермошенники использовали такие технологические приемы, как скимминг, фишинг и преднамеренный запуск вирусов-похитителей. При этом зачастую в руки преступников попадали не номера их банковских счетов, а личная информация о пользователе (40%), электронные (33%) и физические (30%) адреса, а также пароли от соцсетей и различных приложений (28%).

Абсолютными лидерами по числу успешных взломов стали США — там произошло свыше 1,3 тысячи утечек, в Британии всего 104, а замыкает список Канада, где хакеры провели всего 59 удачных атак. Россия не входит в топ-10 рейтинга самых «лакомых» стран для хакеров, поскольку россияне пока не особо активно пользуются различными приложениями, однако число киберпреступлений растет быстрыми темпам, отмечает Тарас Татаринов.

Чем больше мест, где хранятся ваши данные, тем больше риск того, что они попадут в руки к хакерам, добавляет Алексей Раевский. Когда вы передаете свои данные какому-либо провайдеру или банку, то эта организация обязуется защищать эту информацию от взлома. «Но на практике эти компании уделяют внимание только сохранности ваших финансовых данных, таких, как номера кредитных крат или счетов, а персональная информация о пользователе остается вне поля зрения системы безопасности, чем и пользуются хакеры», — предупреждает эксперт.