info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

افشای داده‌های شخصی ۵۷ میلیون از کاربران تاکسی اینترنتی اوبر!

خلاصه: طی یک حادثه‌ی امنیتی هکرها در سال ۲۰۱۶ توانستند به داده‌های شخصی ۵۷ میلیون نفر از کاربران Uber دسترسی پیدا کنند. اوبر برای محدود کردن این افشا مجبور شد صد هزار دلار به مهاجمان به عنوان باج پرداخت کند. حادثه‌ی به‌وجود آمده برای اوبر نمونه‌ای از این است که چگونه ماشین‌های محافظت نشده می‌توانند باعث افشای داده‌ها شوند و همچنین هشداری برای همه‌ی صاحبان کسب‌وکارهای اینترنتی!!!

اوبر در سال ۲۰۱۶ هک شد و این مسأله را بیش از یک سال پنهان کرد. اوبر روز سه‌شنبه گفت که هکرها به داده‌های شخصی ۵۷ میلیون نفر از کاربرانش دسترسی پیدا کردند. این افشای داده بیش از یک سال توسط این کمپانی پنهان ماند.

اطلاعات سرقت شده شامل نام، آدرس ایمیل، و شماره‌های تلفن مشتریانش در سرتاسر جهان بود، این درحالی است که نام و شماره‌ی مجوز ۶۰۰.۰۰۰ نفر از رانندگانش در ایالات متحده نیز در دسترس هکرها قرار گرفتند.

مدیرعامل اوبر در روز سه‌شنبه در وبلاگ خود نوشت که به تازگی متوجه شدیم که در سال ۲۰۱۶ دو نفر از بیرون به داده‌های کاربرانمان که در یک سرویس مبتنی بر ابر ذخیره شده بودند دسترسی پیدا کردند. همچنین گفته شده است که این حادثه هیچ شکاف یا رخنه‌ای را در سیستم‌ها یا زیرساخت اوبر ایجاد نکرده است.

براساس یک گزارش از Bloomberg مهاجمان به گواهی‌ها از یک سایت خصوصی گیت‌هاب که توسعه‌دهندگان نرم‌افزار اوبر استفاده کرده‌بودند دسترسی پیدا کرده‌اند که این برای دسترسی به حساب آمازون وب‌سرویس (AWS) استفاده شده است. به گفته‌ی اوبر ۱۰۰.۰۰۰ دلار به هکرها به‌عنوان باج برای محدود کردن این افشای داده پرداخت شده است. این شرکت هیچ‌گونه جزئیاتی در مورد این پرداخت ارائه نداده است اما گفته شده است که اوبر پس از آن هکرها را شناسایی کرده و از نابود شدن داده‌های افشا شده اطمینان حاصل کرده‌اند. اوبر گفت که دو نفر از کارمندان که موجب این حادثه شدند دیگر در این شرکت کار نمی‌کنند.

حادثه‌ی به‌وجود آمده برای اوبر نمونه‌ای از این است که چگونه ماشین‌های محافظت نشده می‌توانند باعث افشای داده‌ها شوند. دسترسی به سرویس‌های ابری مانند Amazon AWS معمولاً با کلید‌های SSH که اغلب خارج از کنترل تیم‌های امنیتی هستند محافظت می‌شوند.

حادثه‌ی اوبر برخلاف گستردگی خیلی پیچیده نیست!

اوبر برنامه‌ای را برای تشویق محققان برای کشف آسیب‌پذیری‌های سرتاسر خدمات خود اجرا می‌کند؛ در ژوئن ۲۰۱۶ محققان امنیتی بیش از ۱۰ آسیب‌پذیری را در وب‌سایت‌ها و اپلیکیشن اوبر پیدا کردند که بسیاری از این آسیب‌پذیری‌ها می‌توانست برای دسترسی به اطلاعات رانندگان و مسافرین مورد سوءاستفاده قرار گیرد.

در سال ۲۰۱۵ اوبر دو حادثه‌ی امنیتی را فاش کرد: یکی که یک گروه غیرمجاز دسترسی به مجوزهای تقریباً ۵۰.۰۰۰ راننده را به‌دست آوردند و یک باگ نرم‌افزاری که اطلاعات شخصی صدها راننده‌ی ایالات متحده را افشا کرد.

با توجه به اینکه اوبر بزرگترین شرکت تاکسی اینترنتی در جهان است، وجود آسیب‌پذیری‌ها و حوادث امنیتی که از سال ۲۰۱۵ در آن به‌وجود آمده را می‌توان به‌عنوان یک هشدار برای همه‌ی کسب‌و‌کارهای اینترنتی و به‌خصوص تاکسی‌های اینترنتی فعال در داخل کشور در نظر گرفت. بنابراین همه‌ی صاحبان این نوع کسب‌و‌کارها باید به امنیت زیرساخت‌ها، سیستم‌ها و اطلاعات کاربران خود اهمیت داده و از امنیت کامل تجهیزات خود  اطمینان حاصل کنند. 

 

 

تحت نظارت وف ایرانی