Loopbaan

Security
dief

Uber verzwijgt hack en betaalt de dieven zwijggeld

Uber was al omstreden, maar voegt daar nu slecht securitybeleid aan toe.

22 november 2017

Uber was al omstreden, maar voegt daar nu slecht securitybeleid aan toe.

Data van 57 miljoen mensen is gestolen bij Uber, die dat heeft verzwegen net als eerder Yahoo al heeft gedaan. Vervolgens heeft het bedrijf een bedrag van 100.000 dollar betaald aan de dieven om hun daad stil te houden en de buit te vernietigen.

Deze digitale diefstal is in oktober vorig jaar gepleegd en betreft 50 miljoen Uber-gebruikers en 7 miljoen chauffeurs die werken voor de taxi-app. Van de getroffen 57 miljoen mensen zijn in ieder geval hun namen, e-mailadressen en telefoonnummers buitgemaakt. Van zo’n 600.000 chauffeurs is ook nog eens hun rijbewijsnummers gestolen, meldt persbureau Bloomberg.

CSO ontslagen

Uber stelt nu dat de dieven niet hun handen hebben gelegd op burgerservicenummers (social security numbers), creditcardinformatie, locatiegegevens over Uber-ritten, of andere data. Ten tijde van de diefstal was het bedrijf verwikkeld in onderzoeken van Amerikaanse toezichthouders over verschillende gevallen van privacyschending. De digitale inbraak had toen gemeld moeten worden aan de autoriteiten, wat juridisch verplicht is, erkent Uber nu.

De chief security officer van Uber en één van zijn naaste medewerkers zijn ontslagen. Zij waren direct betrokken bij het stilhouden van de hack en het vervolgens afkopen van de datadieven. Uber meent dat de gestolen informatie nooit is misbruikt door de dieven, of door andere partijen aan wie het in theorie kan zijn doorverkocht.

Onderzoek en aanklacht

De nieuwe CEO Dara Khosrowshahi, die afgelopen september is aangetreden, zegt dat dit stilhouden en afkopen nooit had mogen gebeuren. “We veranderen nu de manier waarop we zaken doen.” De openbaar aanklager van New York stelt nu een onderzoek in naar dit nieuwste incident bij Uber. Daarnaast wordt het getroebleerde bedrijf aangeklaagd door een klant, die de firma nalatigheid verwijt en die de aanklacht tot groepsvordering (class action suit) wil laten verheffen.

MEER AG CONNECT?

Altijd op de hoogte blijven van het laatste IT-nieuws? Volg ons op Twitter, like ons op Facebook of abonneer je op onze nieuwsbrief.

Lees meer over Loopbaan OP AG Intelligence
1
Reacties
Jan Smets 22 november 2017 14:06

Drie dingen hadden hier beter gekund: snellere openbaarmaking, betere encryptie van gegevens in de gehele levenscyclus en het gebruik van access management, inclusief sterke authenticatie. Vertraging in de bekendmaking van een hack zorgt voor schade in de vertrouwensrelaties. Het doel moet niet zijn om inbreuken te verbergen of te voorkomen, het doel moet zijn dat inbreuken geen schade aan kunnen richten door een intelligentere aanpak van beveiliging waarin data centraal staat. Dit betekent dat men precies weet waar waardevolle gegevens zich bevinden, wie er toegang tot heeft, hoe het wordt getransporteerd en wanneer en waar het is ge(de)codeerd. Van de 1,9 miljard gegevens die wereldwijd in de eerste helft van 2017 zijn aangetast, was minder dan 1 procent versleuteld. Identiteitsdiefstal, de waarschijnlijke motivatie achter deze aanval, is de meest voorkomende vorm van schendig. Het vertegenwoordigt 74 procent van alle datalekken in de eerste helft van 2017. Een flinke stijging ten opzichte van de vorige periode, toen was het 49 procent. Om dit te voorkomen was het alleen nodig om de toegang tot de data te beveiligen en de informatie te encrypten. En dit is precies wat organisaties in de toekomst moeten doen om dit te voorkomen.

– Jan Smets, Security Specialist bij Gemalto

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.