UBER שילמה 100,000 דולרים להאקרים להשתקת מתקפה שחשפה נתוני 57 מיליון איש
מאת:
מערכת Telecom News, 22.11.17, 03:09
המתקפה אירעה באוקטובר 2016 אך דבר התרחשותה לא פורסם עד כה. עדכון בתחתית הכתבה.
דווח, שאובר שילמה 100,000 דולרים, כדי להשתיק מתקפת סייבר ב-2016, שחשפה מידע אישי של 57 מיליון איש, לקוחות ונהגים.
דליפת המידע, שקרתה באוקטובר 2016 לאפורסמה תציבור עד אמש, כאשר אובר עצמה הודיעה זאת "בשקט" בבלוג שלה -
כאן.
בכל מקרה, למנכ"ל אובר הקודם
Travis Kalanick, נודע על כך רק חודש לאחר התרחשות המתקפה.
בפוסט של
Dara Khosrowshahi, בתפקיד המנכ"ל מספטמבר שנה זו נכתב:
We are changing the way we do business, putting integrity at the core of every decision we make and working hard to earn the trust of our customers. None of this should have happened, and I will not make excuses for it
במידע שנגנב נכללו שמות, כתובות דוא"ל, ומספרי טלפון של כ-50 מיליון לקוחות בעולם ושל 7 מיליון נהגים, כולל מספרי רישוי של נהגים בארה"ב.
2 אנשים שהיו אחראיים על הטיפול במתקפה כבר אינם עובדים בחברה כתוצאה מכך. ביניהם Joe Sullivan, קצין האבטחה הראשי שהתבקש להתפטר.
עדכון 19:49: סייברארק פרסמה ניתוח קצר המסביר איך ארגונים כמו אובר, שמאמצים שיטות פיתוח אפליקציות מודרניות כדי שחרר פיצ'רים חדשים ועדכוני תוכנה במהירות גדולה ולשפר את חווית המשתמש ואת הכנסות הנהגים, מעמידים את עצמם בסיכון:
המתקפה על
UBER מאירה זרקור על הנקודות הפגיעות הקריטיות באבטחה, שנוצרות עקב חשבונות פריבילגיים, שפעמים רבות אינם מנוהלים ונותרים בלתי מוגנים, במיוחד בחברות המשתמשות בתהליכי
DevOps ובענן כדי לשחרר אפליקציות חדשות לשוק במהירות גדולה. חברת האנליסטים
Forrester מעריכה, ש-80% מפריצות האבטחה מערבות הרשאות פריבילגיות.
למרות זאת, ולפי
סקר אחרון של סייברארק, 75% מהארגונים מדווחים, שאין להם כל אסטרטגיה לנהל ולאבטח את ה'סודות' של ה-
DevOps ו-99% מהעונים לסקר לא ידעו לזהות את כל המקומות בהם חשבונות פריבילגיים או סודות בארגון שלהם קיימים.
חוסר הנראות
visibility וחוסר השליטה הללו יוצרים הזדמנות לתוקפים. זה מדגיש את הצורך בפתרונות לניהול סודות להגנה על זהויות של מכונות וניהול מאובטח של סודות. זאת, כחלק מפתרון כולל לאבטחת חשבונות פריבילגיים להגנה פרואקטיבית נגד סוג זה של מתקפות לרוחב תהליכי ה-
DevOps ובכל סביבת ענן.
מצורף (
כאן) למתעניינים סקר בינלאומי שעשתה החברה על אבטחת
DevOps.