Management

Security
dollars

Lessen van: Ubers hackafkoop

Uber is disrupting voor taxi’s maar ook voor hackersbetaling. Een slecht voorbeeld uit Ubers verleden.

© CC BY 2.0 - Flickr.com,  PRO401(K)
17 juni 2019

Uber is disrupting voor taxi’s maar ook voor hackersbetaling. Een slecht voorbeeld uit Ubers verleden.

Vervoersfaciliteerder Uber heeft nogal wat tijd toegewerkt naar zijn beursgang, maar is nog wat langer bezig om zijn leven te beteren. Onder de vorige CEO, oprichter Travis Kalanick, heeft Uber nogal wat onethische dingen gedaan waar het bedrijf spijt van heeft. Daaronder ook de ‘innovatie’ om datastelende hackers te betalen.

Het gaat om het geruchtmakende securityincident van eind 2017, wat toen is bekendgemaakt door de relatief nieuw aangetreden CEO Dara Khosrowshahi. Hij is de opvolger van Ubergrondlegger Kalanick, die wegens wangedrag de laan is uitgestuurd. (Hoewel de oprichter nog wel een zetel in de raad van bestuur heeft.)

Jaar na dato

Bij de bekendmaking door CEO Khosrowshahi dat Uber een datalek heeft ondergaan, heeft de topman toen gelijk twee securityleiders ontslagen. Nee, niet direct om het feit dat Uber gehackt was. Het ontslag was voor dingen rondom die hack. Dingen die duiden op onethisch gedrag, waar Uber zich onder de leiding van de in augustus aangetreden CEO juist van wil ontdoen.

Zo was de securitybreach ten tijde van de bekendmaking al een jaar oud. Ubers securitytopmensen hadden het actief stil gehouden. Daarnaast waren er bij de ontdekking van een kwetsbaarheid in Ubers ICT daadwerkelijk data gestolen. De datadiefstal betrof 57 miljoen records, bestaande uit informatie over Uberchauffeurs én klanten.

Onder het tapijt

Van die mensen is persoonlijke informatie buitgemaakt, waaronder namen, e-mailadressen en telefoonnummers. Van taxiritaanbiedende Ubergebruikers zijn ook nog eens hun rijbewijsgegevens en kentekenregistraties gestolen.

Deze forse schending van de beveiliging – en dito schending van privacy van gebruikers – is vervolgens dus stilgehouden. Niet alleen tegenover de daadwerkelijke slachtoffers van deze datadiefstal, die daardoor verhoogd risico op identiteitsfraude kunnen lopen, maar het Uberdatalek is ook stilgehouden wat betreft melding aan autoriteiten.

Terwijl dat wel had gemoeten volgens de geldende meldplichten. Uiteindelijk heeft dat Uber dan ook boetes opgeleverd; kostenposten die het eigenlijk gewoon had kunnen voorkomen. Een waardevolle les: melden moet en kan moeite kosten, maar niet melden kan veel meer kosten.

Zo heeft Uber van de Autoriteit Persoonsgegevens (na kritisch onderzoek) eind vorig jaar een boete van €600.000 gekregen. Dat bedrag is voor Uber – met pre-IPO een miljardenwaarde in de ogen van investeerders – vast geen onoverkomelijke kostenpost. Maar in andere landen zijn ook kosten gemaakt voor deze securityschending: een boete hier, een miljoenenschikking daar.

Goede tijden, AVG-tijden

In Nederland heeft de Autoriteit Persoonsgegevens ook expliciet gekeken of het bedrijf wel adequaat heeft gereageerd op het datalek. En daar valt wel wat op aan te merken. Uber zelf, maar ook andere organisaties kunnen hier veel lering uit trekken, zeker nu de Europese databeschermingsrichtlijn van toepassing is en fikse boetes kan opleveren.

Ten tijde van de hackopenbaarmaking heeft Uber nog wel uit zichzelf AG Connect erop gewezen dat de 6 ton boete in Nederland eigenlijk geen AVG-boete is. En dat de AVG niet is geschonden door het bedrijf. Die EU-brede richtlijnen voor data- en privacybescherming zijn namelijk sinds mei 2018 van kracht en het betreffende datalek – plus de omstreden afhandeling ervan – stammen van 2016.

“We zijn blij dat we het hoofdstuk van het data-incident uit 2016 kunnen afsluiten”, aldus de verklaring van een woordvoerder eind vorig jaar. Daarbij benadrukte de firma ook dat het technische verbeteringen heeft doorgevoerd voor betere beveiliging. Dit is gedaan direct na de hack, maar ook in de jaren daarna. Beter nog zou zijn vóórdat een hack of datalek plaatsvindt, maar het is de vraag of dat wel altijd mogelijk is.

Zwijggeld als bug bounty

Een relatief onderbelicht, maar zeker leerzaam aspect van deze affaire zit echter nog in de afhandeling. Dit naast de intern genomen technische maatregelen, en naast de uiteindelijke openbaarmaking met meekomend ontslag voor directbetrokkenen. Bijkomend feit is nog dat Uber de hackers voor hun datadiefstal heeft ‘beloond’.

De dieven hebben namelijk zwijggeld gekregen, van maar liefst 100.000 dollar. Bij die deal hoorde ook de belofte dat de naar buiten gesluisde data vernietigd moest worden. Maar hoe kun je als organisatie zo’n bedrag betalen en tegelijk stilhouden waarvoor je wie nu eigenlijk betaalt? Daar heeft Uber zijn beloningsprogramma voor bugmeldingen voor benut.

De datadiefstal is dus geclassificeerd als melding van een kwetsbaarheid, waar een bug bounty voor is uitgekeerd. Toen dit aspect aan het licht kwam, heeft dat Uber verse ophef en meer wantrouwen opgeleverd. De vertrouwelijke procedure voor bugmeldingen is misbruikt voor het stilletjes afkopen van een hack. Dat schaadt vertrouwen; in die procedure en in de organisatie.

Werken aan vertrouwen

Een waardevolle les: benut een proces of programma niet zomaar voor iets anders. Want vroeg of laat komt zoiets toch uit. Of dat nu is doordat afgekochte inbrekers toch niet te vertrouwen zijn, of doordat een nieuwe CEO schoon schip maakt.

Onder nieuwe leider Khosrowshahi heeft Uber zijn eerste chief privacy officer, data protection officer en een nieuwe chief trust en security officer aangetrokken, liet de woordvoerder nog weten in de verklaring aan AG Connect. Zulke benoemingen zijn aanbevelenswaardig voor andere organisaties die met waardevolle gegevens omgaan. En wie doet dat niet tegenwoordig?

Magazine AG Connect

Dit artikel is ook gepubliceerd in het magazine van AG Connect (juni-julinummer 2019). Wil je alle artikelen uit dit nummer lezen, klik dan hier voor de inhoudsopgave.

Lees meer over Management OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.