🚗 הפריצה מ-2016 ממשיכה לרדוף את אובר 🛩️ הטיסמולטור של מיקרוסופט בונה מחדש את תל אביב 📻 האחראי על האינטרנט בגלצ 22.8.2020

הקליקו לארכיון האחראי על האינטרנט

🎧 להאזנה לפינה 🔊

שתוק וקח את כספנו

הפריצה הגדולה לאובר, שבה האקרים גנבו מידע על 57 מיליון נוסעים ונהגים ומידע נוסף על 600 אלף נהגים של פלטפורמת הנסיעות, ממשיכה לרדוף את החברה. השבוע הגישו תובעים פדרליים כתב אישום נגד סמנכ”ל האבטחה לשעבר של החברה, ג’ו סאליבן, בטענה שהסתיר את הפרשה ואף שיחד את ההאקרים כדי שישמרו את הפריצה בסוד.

בנובמבר 2016, האקר שהזדהה כג’ון דאוז (John Doughs) שלח לסאליבן אימייל שבו סיפר שמצא חולשת אבטחה והצליח להוריד עותק של מסד הנתונים של החברה ומידע נוסף.  לפי החוק בכל מדינות ארה”ב ורוב הטריטוריות שלה, חברות מחוייבות לדווח לאנשים על פירצות אבטחה שבהן נחשפו פרטים אישיים מזהים (PII). אולם סאליבן הודיע על הפריצה רק למנכ”ל דאז, טראוויס קלניק, והשניים דנו בתשלום כופר להאקרים כדי להסתיר את הפריצה. ואכן כך היה – אובר שילמו להאקרים 100 אלף דולר וגנזו את הסיפור.

בהמשך נאלץ המנכ”ל והמייסד קלניק להתפטר בעקבות התנהלות בעייתית וסביבת עבודה רעילה, ובאוגוסט 2017 הוחלף על ידי דארה חוסרושאהי. הדירקטוריון של אובר גילה את הפריצה, אולם סאליבן בחר להמשיך בדרכיו העברייניות ושיקר למנכ”ל החדש בנוגע לנסיבותיה. חודשיים אחרי שנכנס לתפקיד דיווח חוסרושאהי על הפריצה בפומבי, וכינה את הסתרת המידע מהציבור “הכשלון שלנו”. הוא פיטר את סאליבן ועובד נוסף בצוות שלו, עו”ד לאבטחת מידע. התובעים הכלליים של כל 50 המדינות של ארה”ב ושל וושינגטון הבירה תבעו את אובר על הפריצה, ואחרי כמעט שנה, אובר שילמו 148 מיליון דולר במסגרת הסכם פשרה.

כבר בזמן האימייל הראשוני על הפריצה, החברה כבר היתה נתונה בחקירה של FTC (רשות המסחר הפדרלית של ארה”ב) על פריצה דומה שאירעה שנתיים קודם, שבה האקרים גנבו פרטים על 50 אלף נהגים. בשני המקרים, ההאקרים השיגו מפתחות לשרתי האמזון שאובר אחסנו בהם את המידע שנגנב, ולפחות בפריצה של 2016, הסיבה היתה שמתכנתי אובר שכחו את המפתחות בגיטהאב. סאליבן היה מעורב עמוקות בחקירה של פריצת 2014, שבמסגרתה ישב לשימוע חקירתי בשבועה. למרות כל זאת, המשיך לשמור על פריצת 2016 בסוד ולא דיווח עליה ל-FTC ולאנשים שפרטיהם נגנבו.

עם חשיפת הפריצה לציבור, סאליבן המפוטר המשיך להגן על מעשיו ומעשי החברה, וטען כי אובר לא שילמו להאקרים כופר כי אם bug bounty – פרס שחברות נוהגות להעניק במסגרת תוכנית פרסים להאקרי כובע-לבן, כלומר כאלו שפועלים באופן אתי בחיפוש ודיווח על פירצות אבטחה. תוכניות כאלו מיועדות להמריץ האקרים לסייע לחברות באיתור וסגירת פירצות. אובר השיקו את תוכנית הבאונטי שלהם במרץ 2016, שמונה חודשים לפני הפריצה המדוברת.

עוד על הבאג באונטי של אובר ב”סייברסייבר”:

אבל בכתב האישום שהוגש נגד סאליבן מסבירים התובעים שההאקרים במקרה הזה לא עמדו בתנאי התוכנית; למעט המנכ”ל, ההנהלה לא ידעה בזמן אמת את פרטי הפריצה ולא על ההחלטה להתייחס אליה כבאונטי; כי הסכום ששולם – 100 אלף דולר – גבוה מהמקסימום האפשרי בתוכנית הבאונטי של החברה, 10 אלפים דולר, וממילא גבוה יותר מכל פרס באונטי שאובר שילמו אי פעם; וכי סאליבן דרש מההאקרים לחתום על הסכם סודיות (NDA) ובו סעיף שקרי שאומר שהם מעולם לא השיגו את המידע האישי עצמו ולא שמרו עותק שלו. אגב, הכסף הועבר בביטקוין כשההאקרים חתומים על ה-NDA בשמות בדויים, ורק בינואר 2017 הצליחו באובר לזהות את ההאקרים, ולשלוח אליהם אנשי אבטחה שיחתימו אותם שוב על ה-NDA, הפעם בשמותיהם – כלומר, אובר ידעו את זהות הפורצים, אבל שמרו אותה לעצמם במקום להסגירם לרשויות.

סאליבן נאשם כעת בשיבוש הליכי משפט ואי מניעת פשע. דוברו מסר כי “אלמלא מאמציהם של מר סאליבן וצוותו, סביר להניח שהאחראים לתקרית הזאת לעולם לא היו מזוהים כלל”. הוא הטיל על הצוות המשפטי של אובר את האחריות להחלטה כיצד לנהוג במידע על הפריצה. 

המנכ”ל בזמן הפרשה, קלניק, כתב בזמנו לסאליבן: “צריך להיות בטוחים מה יש לו [להאקר; ע”ק], רגישות/חשיפה של זה ו-ודאות שהוא באמת יכול להתייחס לזה כמצב באונטי […] המשאבים יכולים להיות גמישים לצורך סיום הסיפור אבל אנחנו צריכים לתעד זאת בצורה מהודקת”. משום מה, הוא לא הואשם בפרשה.

מגדל, יש לנו בעיה

מיקרוסופט השיקו השבוע את המשחק החדש בסדרת מדמה הטיסה בעלת השם הגנרי Microsoft Flight Simulator, שרצה כבר 37 שנים – יותר ממערכת ההפעלה ווינדואוז של אותה חברה. ניצן סדן, בעל טור היסטוריית התעופה “הקברניט” בכלכליסט, סיפר לנו:

המשחק הזה עושה רעש כי יש בו רמת ריאליזם שמשגעת אנשים. פחות או יותר כל העולם קיים בו, ואפשר לקפוץ לכל נקודה בגלובוס ולטייל מעליה באווירון. כבר שנים שהמשחק מתבסס על תצלומי אוויר כדי ליצור סביבה ריאליסטית, אבל מהדורת 2020 נתנה קפיצה גדולה קדימה: המשחק חי בתוך תשתית בינג maps, ובה גם תצלומי לוויין מעודכנים ורשת AI שיודעת להבין מה מופיע בתמונה – אם ריבוע לבן גדול הוא בניין או רחבת כניסה, וגם איזה. הרי לצד התמונה מחזיקה מיקרוסופט בנתוני כתובות, תצלומי קרקע ויכולת בניית מודלים תלתממדיים אוטומטית. במשחק יש עשרות שדות תעופה מדוייקים עד לרמת המונית בכניסה לטרמינל, דימוי מדוייק של מזג האוויר והשפעתו על הטיסה, הנחיות קשר ריאליסטיות, אילוצי תעבורת אוויר וכמובן מטוסים ברמת הפירוט הגבוהה ביותר. כל מתג בתא נמצא במשחק ועושה מה שהוא צריך.

העולם המרונדר אינו נטול באגים, כמובן. מתגלץ’ הטוויטר אלעד (@elad3) כתב:

גירסת פלייט סימולטור 2020 של תל אביב היא יקום מקביל שבו העיר הרבה יותר צפופה, ומגדלי זכוכית אסורים, ואני מת על זה.

אלעד בשרשור טוויטר

נראה גם שהיא עזבה ידיים כשנתקלה במרכז עזריאלי 😆 […] אהבתי איך שהיא הפכה את הקניון למבצר מסיבי כמעט בלי חלונות, ודילגה לגמרי על המגדלים […]

אלעד בשרשור טוויטר

תחנת הכוח התל-אביבית רידינג היא עכשיו בנייון מגורים גבוה ודקיק במקום ארובת תחנת הכוח.

אלעד בשרשור טוויטר

אני מצטער לבשר לכם שהצפון הישן המפורסם של תל אביב נפטר מסגנון הבאוהאוס שהוא מפורסם בו והרס בנייני דירות רבים לפנות מקום לצריפים עם גג פח.

אלעד בשרשור טוויטר

ברגן, נורבגיה מוצגת כעיר בעלת בניינים נמתחים ומעוותים:

ארמון בקינגהם הוסב לבנייני משרדים:

ובמלבורן, אוסטרליה צמח מגדל עצום, שמקורו בשגיאה של סטודנט בשם ניית’ן רייט, שתרם לפלטפורמת המיפוי הפתוחה OpenStreetMap והזין בטעות שלמגדל יש 212 קומות במקום 2.


אם אתן רוצות להמשיך להפיק את הפודקאסט שלכן גם בימי הריחוק החברתי, אם אתם רוצים לנצל את הזמן הפנוי להתחיל את הפודקאסט שדחיתם עד עכשיו – דברו איתנו באימייל (Go@podcasti.co) או בטלפון (053-7337419), או בקרו באתר לפרטים נוספים Podcasti.co


הפינה “האחראי על האינטרנט” משודרת מדי שבת ב-19:30 בתוכנית “שישבת” בהגשת עידן קוולר בגלצ 🎵 אות פתיחה: ניאן קאט של daniwell, ביצוע גיטרות לניאן קאט של The GAG Quarter והשיר Never Gonna Give You Up של ריק אסטלי 😇 תודות: הדר בן יהודה🔧

תגובות

תגובה אחת לפוסט “🚗 הפריצה מ-2016 ממשיכה לרדוף את אובר 🛩️ הטיסמולטור של מיקרוסופט בונה מחדש את תל אביב 📻 האחראי על האינטרנט בגלצ 22.8.2020”

  1. כשבאג באונטי משמש לתשלום דמי שתיקה – CyberCyber – פודקאסט על האקרים ומאפים on 23 באוגוסט, 2020 00:56

    […] […]

פרסום תגובה

עליך להתחבר כדי להגיב.