פריצת ההאקרים למאגרים של חברת אובר – גילויים והשלכות

פריצת ההאקרים למאגרים של חברת אובר – גילויים והשלכות

This post is also available in: enEnglish (אנגלית)

Uber

מאז הודיעה ביום שישי האחרון על פריצה למאגרי המידע שלה, נוקטת חברת אובר (Uber), המספקת פתרונות תחבורה המבוססים על האפליקציה שפיתחה, בהליכים משפטיים על מנת לחשוף את ההאקרים. במסגרת בקשה שהגישה החברה לביהמ"ש, עולה כי פירצת האבטחה של החברה נבעה משימוש עובדיה בפלטפורמה השיתופית GitHub. חברת Uber פנתה בדרישה לחברת GitHub לחשוף את כתובות ה-IP של כל מי שנכנס לכתובת ה-URL שבה היה מאוחסן המידע הרגיש. הנתיב דרכו התבצעה הפריצה כבר אינו קיים.

מומחי אבטחת מידע וסייבר מציינים כי מהדרישה שהעבירה Uber לחברת GitHub עולה כי עובד או קבלן שלUber  שמר על GitHub את קוד האבטחה של המערכת. כיוון שמדובר בפלטפורמה שיתופית, ההאקרים הצליחו לחשוף את קוד האבטחה והשתמשו בו כדי לחדור למאגרי המידע הרגישים של Uber. אין זו הפעם הראשונה ש- GitHub משמשת כנקודת מעבר להאקרים. כבר בעבר העלו בדיקות שונות כי חיפוש פשוט בפלטפורמה מאפשר חשיפה של עשרות סיסמאות שמטרתן להגן על חברות גדולות ופרויקטים רגישים.

הפריצה האמורה התרחשה ב-13 במאי 2014 והתגלתה ע"י Uber בחודש ספטמבר האחרון. כ-50,000 שמות של משתמשים באפליקציה ממדינות שונות, לרבות מספרי רישיון הנהיגה שלהם, נגנבו. לטענת Uber, מיד לאחר הפריצה שונו הפרוטוקולים של מאגר המידע ונחסמה הגישה לגורמים בלתי מורשים.

ההודעה על הפריצה מגיעה בעיתוי רגיש במיוחד עבורUber , המבקשת להתחיל לפעול גם בישראל. כמו במדינות רבות אחרות, נתקלת Uber בבעיות רגולטריות שמקשות על המודל העסקי שלה. בחודשים האחרונים פועלת החברה בישראל על מנת להרחיב את פעילותה מתחום המוניות לתחום ההסעות במכוניות פרטיות. תקנות התעבורה הישראליות אינן מאפשרות זאת.

הירשמו לאתר הישראלי לביטחון המולדת

ברם, באמצעות פעילות פרסומית ופוליטית, הצליחה Uber לגרום לרשויות הישראליות לבחון שוב את עמדתן ולהיכנס לתהליך לימוד משותף של הניסיון שנצבר בעולם. בעוד שהרשויות הישראליות מתעניינות בעיקר בשאלות של ביטוח ותמחור, סוגיית אבטחת המידע, ככל הנראה, איננה בין הנושאים שעומדים על הפרק.

זו אינה הפעם הראשונה שהחברה מסתבכת עם סוגיות של פרטיות ושמירת מידע. פרסומים שונים הצביעו על כך שעובדי Uber משתמשים באופן חופשי למדי בפלטפורמות שמאפשרות לעקוב אחר התנועות של משתמשים ספציפיים. הידיעות האלה נפוצו לאחר שהתגלה כי Uber עקבה אחר הרגלי הנסיעה של עיתונאים שכתבו עליה ביקורות שליליות.

אסון יחצ"ני נוסף התרחש כאשר במסיבת השקה בשיקגו, הציגה אובר את הרגלי הנסיעה של שלושים משתמשים בולטים. אם כל זה לא הספיק, עובד פוטנציאלי שהתראיין לתפקיד בחברה, סיפר כי כחלק מראיון העבודה שלו ניתנה לו גישה לחשבונות של משתמשים באפליקציה וכי הגישה הזו נותרה פתוחה כמה שעות לאחר שהראיון הסתיים.

אירועים אלה, יחד עם הפריצה למאגרי המידע, הובילו את הסנאטור הדמוקרטי ממדינת מינסוטה אל פרנקלין, חבר תת הוועדה לנושאי פרטיות, טכנולוגיה ומשפט, לשלוח מכתב הדורש הבהרות מ- Uberעל מדיניות הפרטיות שלה. החברה הגיבה לטענות אלה בטענה כי היא מגבילה את הגישה למאגרי המידע שלה רק לעובדים הרלוונטיים. כמו כן טענה, כי היא החליפה את הפלטפורמה בה משתמשים העובדים לטובת פלטפורמה שמסתירה את הזהות של המשתמשים וכי עובדים אינם יכולים להיחשף למידע מסווג ללא אישור מדרג גבוה יותר.

יתר על, החברה אימצה נהלים חדשים המורים למחוק את המידע של הלקוחות לאחר שהם מוחקים את החשבון שלהם והיא החלה לערוך בדיקות רקע לעובדים. כמו כן, התחייבה Uber לערוך יותר ביקורות שגרתיות של התוכנה ולעזור למשתמשים להבין את מדיניות הפרטיות שלה באופן יותר ברור.


למידע נוסף


הרשמה לניוזלטר

SIMILAR ARTICLES

image provided by pixabay

image provided by pixabay

IoT chip. image by pixabay

Security. image by pixabay

Photo illust. drone delivery by Pixabay

first responders, Photo: illustration, US DHS

encryption