Злоумышленники похитили персональные данные 57 млн клиентов и водителей Uber. В компании скрывали инцидент больше года. После огласки компанию покинули директор по информационной безопасности Uber Джо Салливан и один из его заместителей, которые держали в секрете и сам факт взлома, и плату хакерам за молчание в размере 100 тысяч долларов, сообщает агентство Bloomberg.

Данные, скомпрометированные в октябре 2016 года, включали имена, адреса электронной почты и телефонные номера 50 млн пользователей сервиса по всему миру. В распоряжении хакеров оказалась также личная информация 7 млн водителей, в том числе около 600 тысяч номеров водительских удостоверений, выданных в США. В Uber заявили, что номера социального страхования, данные кредитных карт и маршруты поездок, равно как и другие пользовательские данные не пострадали.

В то время, когда произошел взлом, Uber находился в центре расследования американского регулятора по другому делу о нарушении конфиденциальности данных. Теперь в компании говорят, что были обязаны сообщить о взломе регулятору и водителям, чьи данные пострадали. Вместо этого компания заплатила, чтобы хакеры удалили украденные данные и сохранили инцидент в тайне. В Uber уверены, что информация никогда не использовалась для противоправных действий, но отказываются раскрыть личности хакеров.

Компания планирует выпустить официальное заявление для клиентов, где говорится, что «нет доказательств мошенничества или неправомерного использования данных, связанных с инцидентом». Uber собирается также предложить водителям, чьи данные пострадали, бесплатный мониторинг и защиту от «кражи личности».

После того, как Uber признался в атаке годичной давности, генеральная прокуратура Нью-Йорка начала расследование хакерского взлома. Спустя несколько часов после признания против компании выдвинули обвинения в халатности и подали коллективный иск.

Утечка в Uber, хотя и крупная, по масштабу уступает утечкам в Yahoo, MySpace, сети магазинов Target и кредитном бюро Equifax. В ситуации с сервисом Uber больше всего тревожит беспрецедентные шаги, которые предприняли сотрудники компании, чтобы скрыть атаку хакеров.

Этот взлом – последний скандал, который достался Uber в «наследство» от Трэвиса Каланика. Сооснователь и бывший глава компании узнал о хакерской атаке в ноябре 2016 год, спустя месяц после инцидента. Тогда Uber как раз заключил соглашение с Генеральной прокуратурой Нью-Йорка по делу о раскрытии данных и находился в процессе переговоров с Федеральной торговой комиссией.

Уволенный шеф безопасности Uber Джо Салливан в прошлом – государственный обвинитель. Он присоединился к компании в 2015 году, перейдя из Facebook. Именно он принял решение об ответной реакции на действия хакеров, которое спустя год ударили по компании Uber.

За месяц до его увольнения совет директоров нанял юридическую фирму, чтобы провести расследование деятельности ИБ-команды под руководством Джо Салливана. Нанятые юристы и следователи обнаружил взлом и неспособность команды раскрыть преступников.

Bloomberg приводит сценарий атаки. Двое атакующих проникли в закрытый репозиторий GitHub инженеров-программистов Uber. На GitHub злоумышленники нашли данные учетной записи облачного сервиса Amazon, которым сотрудники пользовались для задач Uber. На «облаке» хакеры и обнаружили архив с конфиденциальными данными пассажиров и водителей. Позже злоумышленники по электронной почте потребовали у Uber денег.

И законы штата, и федеральное законодательство обязывают компании предупреждать клиентов и власти, когда происходят утечки чувствительной информации. В Uber говорят, что компания была обязана сообщить только об утечке данных водительских удостоверений, но не сделала и этого. В то же время, по заверению нынешнего руководства, сразу после инцидента компания предприняла шаги, чтобы обезопасить данные, закрыть возможность неавторизованного доступа и усилить контроль за корпоративными аккаунтами на облачных хранилищах.

С момента основания в 2009 году Uber заработал репутацию компании, которая игнорирует правила регионов, где работает. Только в США ведется минимум пять криминальных расследований по подозрению во взяточничестве, использовании незаконного ПО, сомнительном ценообразовании и краже интеллектуальной собственности у конкурентов. Против компании со штаб-квартирой в Сан-Франциско поданы десятки гражданских исков по всему миру. Власти Лондона аннулировали лицензию Uber, назвав поведение компании безответственным.

В январе 2016 года прокуратура Нью-Йорка оштрафовала Uber на 20 тысяч долларов за то, что компания вовремя не сообщила об утечке 2014 года. Три месяца назад компании удалось договориться с Федеральной торговой комиссией США по поводу соблюдения регламента работы с данными потребителей. Uber согласился на правительственный аудит защиты данных в течение 20 лет. Но тогда компания еще не поставила комиссию в известность об атаке хакеров.

Новый глава компании Дара Хосровшахи, который вступил в должность в сентябре 2017 года, говорит, что его цель – изменить путь Uber. Прежде чем обнародовать данные расследования деятельности ИБ-отдела, компания предупредила прокуратуру и Федеральную торговую комиссию.

«Ничто из этого не должно было произойти, и я не буду искать оправданий, – говорится в обращении Дары Хосровшахи. – Я не могу стереть прошлое, но могу пообещать от имени каждого сотрудника Uber, что мы будем учиться на своих ошибках».

В качестве антикризисного советника Uber нанял бывшего замдиректора АНБ по правовым вопросам и директора Национального антитеррористического центра. Он поможет перестроить ИБ-команду. Для поиска хакеров Uber привлек ИБ-экспертов из Mandiant.