Om informationssäkerhet och sekretess i en allt digitalare vardag

Dataintrång,Plock från veckan som varit

Plock från veckan som varit: Uber betalade åt brottslingar, och ljög om det, för att hemlighålla massivt dataintrång

26 Nov , 2017, 12.56 Linus Nyman

 

Det går inte bra för Uber.

Eller rättare sagt gick det inte bra – nu går det ännu sämre.

Uber har varit med om dataintrång förut. År 2014 lyckades någon komma åt namnen och körkortsnumrorna på över 100.000 förare. Men, i stil med Yahoo som ständigt höjde sina egna rekord gällande dataintrång, har det nu blivit klart att det år 2016 stulits information om hela 57 miljoner Uber förar- och kundkonton.

I en New York Times artikel berättas att två personer låg bakom stölden, som skett från en tredje parts server (GitHub). Och att bland den stulna informationen fanns namn, e-postaddresser och telefonnumror.

Hittills är det ännu rätt standard föda: dataintrång börjar (beklagligt nog) vara dagligvara. Men hur Uber försökte hanskas med situationen är vad som gör historien anmärkningsvärd. (Men inte på ett sådant där ”Oj vad fint!” sätt.)

 

Uber dataintrång

Ubers förare är bland de drabbade. (Bild: Uber)

 

Uber betalade lösensumma – men ljög om det

Skurkarna hade kontaktat Uber och krävt $100.000 i lösen för att radera informationen.

Uber gick med på det och affären sköttes (enligt t.ex. New York Times) av Ubers säkerhetschef Joe Sullivan och f.d. grande hefe (närmare sagt ”chief executive”) Travis Kalanick. (Säkerhetschefen har sedermera fått sparken. Kalanick likaså, fast han sitter ännu i Ubers styrelse.)

Men sedan tyckte de på Uber att det var dags att försöka försköna historien lite.

Uber kontaktade skurkarna och fick dem att skriva på en så kallad non-disclosure agreement. Alltså ett avtal om att skurkarna inte fick berätta om fallet åt någon. Sedan skrev de in lösensumman som pris för en så kallad ”bug bounty”.

En bug bounty är ett belöningsprogram. Avsikten är att belöna sådana som hittar ”buggar” i t.ex. webbsidor eller produkter. Som typ att man hittar säkerhetsbrister i ett företags webbsidor. En bug bounty är utan vidare en mycket bra sak att ha. Men en bug bounty är såklart inte jämförbart med en lösensumma.

Det är inte en felfri liknelse, men situationen är jämförbar med att Uber skulle ha lämnat fönstret öppet och blivit rånade. Och sedan betalat en lösensumma åt skurkarna för att få stöldgodset tillbaka. Men bokfört utgiften som en ”belöning” för att någon lyckats uppmärksamma dem om säkerhetsbrister med deras fönster.

Vad nu då, Uber?

Ubers (nya) VD:s uttalande om fallet hittar ni här. Förkortad version för de som har annat att göra med sin dag: ”Ojdå – det här visste jag inte om. Så borde vi inte ha gjort. Vi ska bli bättre.”

Dataintrång, diskriminering, fiffel, med mera. De goda nyheterna för VD:n är väl att det blir utmanande att göra situationen hemskt mycket sämre.

Vill du läsa mera om fallet, se t.ex. Wired, New York Times eller Bloomberg.

2 kommentarer

  1. Jan Kåhre skriver:

    Skrev en insändare som publicerades i Hbl i fredags om Nordea.Fredrik Sonck föreslog att jag skulle visa den åt dig.

    • Linus Nyman skriver:

      Hej,

      Beklagar det sena svaret. Jag är tyvärr ingen expert på bank stoff, men läser gärna insändaren. Har du den i digital version? Annars kan jag gräva runt efter pappersversion. Mejl: mitt förnamn punkt mitt efternam [at] hanken punkt fi.

Lämna ett svar

E-postadressen publiceras inte. Obligatoriska fält är märkta *