今週、Uberの幹部は、サイバー犯罪者による5700万人のドライバーと顧客の盗難を発表しました。 これは、侵害されたアカウントの数です。 ハッキングは今ではなく、約1年前に行われました。 会社のサーバーをハッキングした攻撃者も、そこから100,000ドルを受け取りました。
結局のところ、これは会社のセキュリティサービスとクラッカーの間の一種の取引でした。 トランザクションは、Uberのネットワークセキュリティ責任者であるJoe Sullivanと、同社の元責任者であるTravis Kalanickが担当しました。 この話の詳細は、匿名のままにしたいUberの従業員によって明らかにされました。
会社が6月にセキュリティ部門の責任者を解雇したことは注目に値します。
攻撃者については、2人しかいませんでした。 彼らは、携帯電話番号、電子メール、名前など、会社のドライバーと顧客に関する大量のデータを盗みました。 盗難は、第三者が所有するサーバーから実行されました。 ハッキング後、ハッカーはサーバーに情報を保存し、削除しないために100,000ドルを要求しました。
サイバー攻撃は次のように進行しました。クラッカーは最初、GitHubサービスにアクセスし、Uberプログラマーはそれを使用しました。 次に、会社の従業員の資格情報をダウンロードすることにより、攻撃者はAmazon Web ServicesのUberアカウントにログインできました。 トランスポートサービスの計算タスクを処理したのは、Amazonのこのサービスです。 そして、すでにそこに、ハッカーは会社の顧客とドライバーに関するデータを含むアーカイブを受け取りました。
同社は犯罪者の要件を遵守しただけでなく、さらに先へ進みました。 彼女はサイバー犯罪者を追跡しましたが、Uberの代表者は罰する代わりに、クラッカーに秘密保持契約への署名を強制することにしました。 まあ、賞金プログラムの参加者への資金の配分として、文書に従って「報酬」が実行されました。 伝えられるところでは、これらの参加者はサービスの1つの脆弱性を発見し、それをUberに報告しました。 実際、Uberサーバーがハッキングされたことを除いて、ほとんどすべてがそうでした。
取締役会がUberが使用するビジネス慣行の調査を開始していなかった場合、取引の条件は不明のままでした。
「最近、2016年の終わりに、社外の2人が、使用しているサードパーティのクラウドストレージでホストされているユーザーデータを正しく操作できないことに気付きました。 この事件は、当社の企業システムやインフラストラクチャを破壊するものではありませんでした」
原則として、企業のサーバーをハッキングすることは通常のこととは考えられません。 Uberの前に、攻撃者はYahoo 、Equifax、および他の多くの企業の保護を破りました。 多くの場合、結果はUberで起こったよりもはるかに悲しかった。
しかし、ハッキングの事実を隠して、サービスの管理は米国のいくつかの法律に同時に違反し、ドライバーと顧客を攻撃にさらしました。 評判の被害は非常に高くなる可能性があります。 これまでのところ、同社の資本金は700億ドルと見積もられていますが、Uberに関する調査が続けば、この金額は大幅に少なくなる可能性があります。 現在、ニューヨークの法執行官は、積極的な探偵活動を開始することを計画しています。 調査はすでに開始されており、ほとんどの場合、すぐには完了しません。
「これはどれも起こらなかったはずです。言い訳を探していません。 過去を切り開くことはできませんが、間違いから結論を導き出すことができると言えます。 私たちはビジネスのやり方を変えつつあり、起こったことは私たちがこれを行うように促した理由の1つです」 と Khosrovshahi は言います。
カラニカの代表はコメントを避けた。 ただし、遅かれ早かれ、ジャーナリストやビジネスパートナーからの質問に答える必要があります。 彼が会社のトップだったとき、Kalanikの仕事のスタイルは多くの疑問を投げかけました。 彼は会社の最初の投資家の一人を訴えさえしました 。 この訴訟は最近終了しました。
Uberサーバーのハッキングは、サリバンにとって大きな評判の問題です。サリバンは、数年にわたって会社の情報セキュリティを担当していました。 彼は2015年に会社の情報セキュリティ部門の責任者になりました。 これに先立ち、Joe Sullivanは7年間同じようなポジションで働いていました。
興味深いことに、サリバンは以前は弁護士として働いており、マイアミ大学で複雑な情報法を研究していました。 当初、サリバンをUberに参加させることは優れたソリューションと見なされていました。 ドライバーと顧客の数が増えたため、個人情報の保護に関するUberに関連する全員の懸念が高まりました。
サリバンが去った後、彼と一緒の別の高位マネージャーがウーバーの仕事の法的なニュアンスを担当しました。 それはクレイグ・クラークについてです。
クラッカーを支払うという同社の決定により、サイバーセキュリティの専門家から多くの質問が寄せられました。 実際のところ、攻撃者への支払いは最後の選択肢と考えられており、最悪の事態です。 「サイバー犯罪者に支払う企業は、サイバー犯罪の領域をサポートしています。 善人は悪人の市場を作ります。 イギリスの情報セキュリティの専門家であるケビン・ブモントは、次のように述べています。
Uberにとって、これは非常に望ましくない状況であり、2019年に企業がIPOに参入したときに企業に損害を与える可能性があります。 この段階は会社にとって非常に重要であるため、「Uber 2.0」とも呼ばれます。
一般的に言えば、現在の瞬間は、クラッカーでケースを開くのに最も不適切です。 実際、Uberは現在、日本企業SoftBank Group Corpとの取引を完了しようとしています。 取引の本質は、日本人がUberに100億ドルを投資し、運輸会社のこの14%を受け取ることです。 先月、取引の予備条件が発表されましたが、まだ変更される可能性があります。
現在登場している疑問の1つは、ソフトバンクがUberに要件を過小評価し、会社の株式の額を減らすことを要求するかどうかです。 取引の当事者に近い情報筋は、同社は取引を拒否するつもりはないが、より有利な条件を取得する予定だと述べた。 日本人が正確に何を要求するのかはまだ明らかではありません。
別の質問は、近い将来にKalanikに何が起こるかです。 彼は彼自身を去らなかった。彼のリーダーシップスタイルに不満を抱いた投資家からの圧力のために彼は辞任しなければならなかった。 Kalanikは依然として取締役会のメンバーであり、重要な出資者です。
Uberは、英国、オーストラリア、フィリピンと同時に対処します。 まず第一に、これらの国で会社を認可することです。 カナダはまた、経営者に事件に関するいくつかの公式の質問をしますが、当局は調査を開始しません。
米国の規制当局は、状況の進展に「注意を払う」ことを発表しました。 多くの場合、一部の州では、詳細が明らかになった後も調査を開始します。
米国では、Uberは、プラットフォームがハッキングについて知られるようになった後、プラットフォームのユーザーによって提起された少なくとも2つの集団訴訟を処理する必要があります。 結局、Uberは「会社はFTCおよびいくつかの州当局と協力して、ハッキングとその後の行動について議論している」と答えるだけでした。
クレイグ・クラークはすでに上で議論されましたが、直接の義務を果たせなかったために解雇されました。 取締役会は、ハリを隠したサリバンと彼のチームの行動のチェックを開始しました。 Uberの取締役会によって形成された事件の調査のための特別委員会が、1年前に会社のリーダーが特定の措置を講じる合法性と必要性について協議せず、独自の方法ですべてを行ったことを発見したことは既に知られています。 一方、現在、取締役会は何でも言うことができますが、実権を握ったペア以外の誰も起こらなかったとは考えられません。
現在、Khosrovshahiは、同社がクラッカーからAWS北からダウンロードしたすべてのデータが破壊されたという保証を受け取ったと言います。 これまでのところ、イベントのさらなる発展を監視するだけです。