פורצים גנבו פרטי 57 מיליון נוסעי ונהגי אובר, החברה שילמה להם דמי שתיקה והסתירה את הסיפור במשך שנה

להאזנה לתוכנית

אובר מסתבכת, אמירה שנכונה בכל זמן שאומרים אותה, והפעם: שני קראקרים פרצו למאגר מידע של אובר והורידו קובץ עם פרטים על 57 מיליון משתמשים ונהגים, והחברה ניסתה להסתיר זאת מהרשויות, כולל תשלום דמי שתיקה לפורצים, כך לפי חשיפת בלומברג.

באוקטובר 2016 חדרו שני הקראקרים לחשבון הגיטהאב הפרטי של אובר, שמשמש את מהנדסי התוכנה של החברה. באמצעות פרטי כניסה שהשיגו משם, הקראקרים חדרו למידע בחשבון ה-AWS (שירותי הענן של אמזון) של אובר, שמנהל את משימות המחשוב של החברה. משם גילו הקראקרים ארכיון של מידע על נהגים ונוסעים – מידע אישי שכלל שמות, כתובות אימייל ומספרי טלפון של 50 מיליון נוסעים ו-7 מיליון נהגים, כשבתוכם מספרי רשיונות נהיגה של 600 אלף אמריקאים. ההאקרים לא גנבו מסלולי נסיעות, פרטי אשראי ומספרי ביטוח לאומי אמריקאיים, שנחשבים למידע פרטי וחשיפתם מאפשרת גניבת זהות.

החברה טוענת שהפירצה נודעה למנכ”ל דאז, טרוויס קלניק, בנובמבר 2016, חודש לאחר שקרתה. הקראקרים שלחו לחברה אימייל ודרשו תשלום, וזו אכן שילמה להם 100 אלף דולר תמורת מחיקת המידע ושמירת הפריצה בסוד. החברה טוענת כעת שלא נעשה שימוש לרעה במידע, למיטב ידיעתה, ומסרבת לחשוף את זהות הקראקרים.

בזמן שהפריצה בוצעה, החברה בדיוק חתמה על פשרה בתביעה מול התובע הכללי של מדינת ניו יורק על חשיפות אבטחת מידע, והיתה במו”מ עם FTC (רשות הסחר הפדרלית של ארה”ב) על הסכם פשרה בנוגע לפגיעה בפרטיות משתמשים. FTC טענה שאובר כשלה בניטור צמוד של גישת עובדיה למידע על נהגים ונוסעים, וכשלה ביישום אמצעים סבירים לאבטח את המידע האישי שהיא מאחסנת בשירות הענן של אמזון. האבטחה הבלתי מספקת של המידע בענן של אמזון איפשרה לקראקר לחדור במאי 2014 למאגר מידע שכלל שמות ומספרי רשיונות נהיגה של 100 אלף נהגים שעובדים עם אובר. במסגרת הסכם הפשרה התחייבה אובר, בין השאר, להימנע מהצגה מטעה של הדרכים שבהן היא מנטרת גישה פנימית למידע הפרטי של הצרכנים, ושל הדרכים שבהן היא מגינה ושומרת על המידע הזה. אובר לא נדרשה להודות שפעלה שלא כשורה. ההסכם נחתם לפני שלושה חודשים, כש-FTC לא יודעת על הפריצה הענקית מאוקטובר 2016.

אפליקציית הזמנת הנסיעות אובר freestocks.org (נחלת הכלל)

החברה דיווחה על הפריצה רק השבוע, בין השאר ל-FTC ולתובע הכללי של מדינת ניו יורק, שפתח בחקירה. גם בקונטיקט, אילינוי ומסצ’וסטס חוקרים את הנושא. משתמש של השירות הגיש למחרת החשיפה בקשה לתביעה ייצוגית נגד החברה על רשלנות.

הסתרת הפריצה עלולה להוות הפרה של ההבטחה שהחברה נתנה ל-FTC במסגרת הפשרה – לא להוליך שולל משתמשים לגבי פרטיות ואבטחת מידע. בראיון לסינט אמר אד מקאנדרוז, לשעבר תובע פדרלי של סייברפשעים וכיום יועץ משפטי לחברות, כי “נראה שהם הפרו את ההסכמות עם FTC עוד לפני שהדיו יבשה”. בנוסף, אובר כפופה לחוק שקיים ב-48 מדינות בארה”ב, שמחייב חברות לדווח לאנשים אם מספרי רשיון הנהיגה שלהם דלפו. מ-FTC נמסר לסינט כי “אנחנו מודעים לדיווחים בתקשורת שמתארים פריצה באובר בשלהי 2016, ולהתנהלות של בכירי אובר לאחר מכן. אנחנו בוחנים מקרוב את הסוגיות המשמעותיות שעלו”. החברה עצמה מודה שיש לה מחוייבות חוקית לדווח על הפריצה לרגולטורים ולנהגים שמספרי הרשיונות שלהם נחשפו – במשתמע, היא מודה שעברה על החוק, משום שדיווחה על הפירצה רק שנה לאחר שגילתה אותה.

סמנכ”ל האבטחה של אובר, ג’ו סליבן, ניהל את הטיפול בפריצה בשנה שעברה, לפי דוברות אובר. עוד לפני כן, התנהלותם של סליבן וצוותו היתה במוקד חקירה פנימית שהזמין דירקטוריון החברה, חקירה שבמסגרתה נודע לחוקרים על הפריצה ועל אי-הדיווח עליה. המידע הועבר למנכ”ל הנוכחי, דארה חוסרובשאהי, שנכנס לתפקיד בספטמבר לאחר שהמנכ”ל המייסד קלניק אולץ לפרוש בגלל תרבות תאגידית בעייתית באובר, שכללה אפליה, הטרדות מיניות והסתבכות עם החוק ועם שותפים.

“גיליתי לאחרונה שבשלהי 2016 נודע לנו ששני אנשים מחוץ לחברה חדרו באופן לא ראוי למידע שמאוחסן בשירות מבוסס ענן צד ג’ שבו אנחנו משתמשים. התקרית לא חשפה את המערכות או התשתית התאגידיות שלנו”, כתב חוסרובשאהי ביום שלישי בבלוג החברה. הוא כתב שהחברה חסמה את הפירצה מיד כשנודע עליה, וסיפר שכעת החברה שכרה יועץ בכיר לגיבוש המבנה וההכוונה של צוותי האבטחה והתהליכים העתידיים; הפסיקה לעבוד עם שני אנשים המעורבים בתקרית (החברה דרשה את התפטרות הסמנכ”ל סליבן ופיטרה את קרייג קלארק, פרקליט בכיר שהיה כפוף לו); מודיעה באופן אישי לנהגים שמספרי הרשיונות שלהם הורדו על ידי הקראקרים, ומספקת להם על חשבונה שירות ניטור אשראי והגנה מפני גניבת זהות; מיידעת את הרשויות הרגולטריות; ומנטרת את החשבונות שנחשפו ומספקת להם הגנה נוספת מפני הונאות.

“דבר מזה לא היה אמור לקרות, ואני לא אתרץ תירוצים”, כתב חוסרובהאשי. “אני אמנם לא יכול למחוק את העבר, אבל אני יכול להתחייב בשם כל עובדי אובר שאנחנו נלמד מהטעויות שלנו. אנחנו משנים את הדרך שבה אנחנו עושים עסקים ושמים את היושרה בליבת כל החלטה שאנחנו מקבלים, ועובדים קשה לזכות באמון של לקוחותינו”.

בתחילת החודש הודיעה אובר ישראל שתרחיב את שירות התחבורה השיתופית בתשלום שלה, שפעל בתל אביב בלילות תחת המותג אובר-נייט, ותפעיל אותו כעת גם בימים תחת מותג אובר-דיי. החברה טוענת שהשירות מציית לרגולציה הישראלית, אולם במשרד התחבורה טוענים שמדובר בהפרת החוק שאוסר על הסעת נוסעים בתשלום בלי רישיונות מיוחדים, ומאיימים בפתיחת הליכים פליליים נגד הנהגים וגם נגד הנוסעים.

הפינה “האחראי על האינטרנט” משודרת מדי שבת ב-19:30 בתוכנית “שישבת” בהגשת עידן קוולר בגלצ

תגובות

• מה זה פה?

  חדר 404 של עידו קינן הוא מגזין תרבות דיגיטלית, טכנולוגיה וחיי רשת. הקליקו למידע נוסף »

  Room 404 by Ido Kenan is an Israeli based digital culture magazine. Click for more info in English »

• רוצה להפיק פודקאסט?

  

• המלצת סייברסייבר (מ)

  

• פרנסה

  

• לאחרונה בחדר 404

  • ילד, רובוט התמיכה הרגשית שלך עומד למות האחראי על האינטרנט בגלצ
  • שליחות קטלנית בלי ביטוח רפואי האחראי על האינטרנט בגלצ
  • ה-NFL מזייפים את אלישה קיז, קנדה אייר מאשימים את הצ’טבוט ומפסידים האחראי על האינטרנט בגלצ
  • שתיקטוק האחראי על האינטרנט בגלצ
  • איך מדרגים בעברית?
  • שקר הביטקוין, קיץ חם במקרר של שופרסל, הצופן היווני ועוד עדכוני סייברסייבר
  • זום מסתבכת עם העובדים והמשתמשים האחראי על האינטרנט בגלצ
  • אילן מאסק ממשיך לחטוף יוזרים בטוויטר
  • ברכות לסופרת בינה מ. על כניסתה לרשימת רבי המכר של קינדל
  • פסיקה עלולה לתת למו”לים שליטה מוחלטת על השאלת ספרים דיגיטליים בספריות
  • תומכי נטלי דדון מבצעים לינצ’טרנט שנמוך דירוג בבית-קפה הלא-נכון
  • זעם נגד תרגום המכונה האחראי על האינטרנט בגלצ
  • מתמונות חתולים לפוליצר – חדשות באזזפיד נסגרים האחראי על האינטרנט בגלצ
  • תיק-תק לחסום את טיקטוק האחראי על האינטרנט בגלצ
  • זו תרבות ביטול על כלום האחראי על האינטרנט בגלצ