2016年11月22日、ブルームバーグニュースポータルは、UberセキュリティディレクターのJoe Sullivanの解雇に関するメッセージを投稿しました。 サリバンとその代理人は、明らかに、データ漏洩と、攻撃の責任を主張した人物に10万ドルを支払ったという事実を隠そうとしました。 彼らの行動の結果、Uberは、州法および連邦法で要求されているように、データ漏洩について規制当局に通知しませんでした。
2人の攻撃者がGitHubのUberプライベートページにアクセスし、その結果として取得した認証資格情報を、会社が支払いの処理に使用するAmazon Web Services(AWS)アカウントで使用することに成功しました。 これにより、攻撃者は世界中の5,000万人のUberユーザーの名前、メールアドレス、電話番号を取得することができました。 さらに、600万の州ナンバープレートを含む700万人のUberドライバーの個人データにアクセスすることができました。
その後すぐに、攻撃者はUberに目を向け、会社に金銭を要求しました。 サリバンと彼の代理は、要求された金額の支払いを手配し、この事件を隠そうとしました。
Uberの最高経営責任者であるDara Khosrowshahiは、リークと、リークを隠そうとする同社の従業員のその後の試みについて遺retの意を表明しました。
「これがすべて起こるべきではなかったし、言い訳もありません。 過去を消すことはできませんが、Uberの全従業員を代表して、間違いから学ぶことを保証できます。 「意思決定の際にデータの整合性とセキュリティを確保し、ビジネスの運営方法を変更し、顧客の信頼を獲得するために努力しています。」
同時に、Khosrovshahiは、インシデント中に会社が攻撃者に目を向け、受信したデータが破壊されたという「保証を受けた」ことを明らかにしました。 この点で、Uberは、リークの結果として盗まれたデータの他の不正行為はないと考えています。 さらに、Uberはクラウドストレージに使用されるアカウントを保護するために、いくつかの追加の対策を講じています。
ジェムアルトのデータ保護ソリューション担当バイスプレジデント兼テクニカルディレクターであるジェイソンハート氏によると、この場合、Uberは何か違うことをする機会がありました(そうすべきでした)。
特に、データ漏えい事件では、Uberは次の3つのエラーを犯しました:会社は漏出をより迅速に報告し、データライフサイクル全体で暗号化技術をより効率的に使用し、強力な多要素認証技術を含むアクセス制御技術を使用する必要があります。
発生したリークに関する情報の公開のヒッチは、ユーザーの信頼を損ない、また、クラウドに保存された個人データへの攻撃者のアクセスの結果として、そのようなリークは避けられないという仮説とも矛盾します。
この場合の会社の主な仕事は、漏れの事実を隠すことではなく、逆説的に、漏れを防ぐことでもないはずです。
主なことは、データを最重要視するセキュリティに対するよりインテリジェントなアプローチを使用して、こうしたリークを「安全」にすることです。 このアプローチは、重要なデータがどこにあるのか、誰がアクセスできるのか、どのように送信されるのか、いつ、どこで暗号化および復号化されるのかを完全に理解していることを意味します。
Uberの場合に行うべきことは、データへの安全なアクセスを提供し、それを暗号化することだけでした。これは、このような事件を回避するために、他の組織が将来とるべきことです。
企業がデータ漏えい対策でより有意義な成功を収めたい場合、データセキュリティに関する新しい哲学を遵守する必要があります。
何十年もの間、サイバーセキュリティの一般的なアプローチは、攻撃者がこれらのリソースにアクセスすることを防ぐ、すべてのデータとネットワークの周りにいわゆる「セキュリティ境界」を作成することでした 。 同様のリーク防止戦略は、数十年にわたって企業のデータセキュリティ戦略の基盤として残っています。
今日観察された無数の一連の事件は、このアプローチがもはや成功していないことを示唆しており、 今日の企業は、セキュリティ侵害の哲学に目を向けるべきです。 つまり、企業は漏洩の不可避性を認識し、セキュリティツールを、保護されたデータおよびそれらと連携するユーザーにできるだけ近づける必要があります。 このアプローチでは、暗号化テクノロジーを使用して、保存および送信されるすべての機密データを保護し、すべての暗号化キーの安全な管理と保存、すべてのリソースへの集中アクセス制御、多要素認証の使用を行います。
セキュリティメカニズムを保護された資産に直接統合することにより、漏洩が発生した場合でも、情報が侵入者から保護されることを保証できます。