تقنية

اختراق أوبر يضطرها لدفع 100,000$ للتعتيم على سرقة بيانات العملاء

في العام الماضي، حصلت أوبر على رسالة بريد إلكتروني من شخص مجهول يطلب فيها أموال مقابل قاعدة بيانات للمستخدمين حصل عليها بعد اختراق أوبر وأنظمتها.

ليتضح بعدها، أن شاب أمريكي في العشرين من عمره، بمساعدة شخص آخر، استطاع اختراق نظام أوبر في العام الماضي، وحصل على كمية هائلة من المال من الشركة لتدمير هذه البيانات، والحفاظ على سرية هذا الحادث.

في الأسبوع الماضي فقط، أعلنت أوبر عن تعرضها لتسريب بيانات في أكتوبر 2016، ما عرّض البيانات الشخصية لحوالي 57 مليون مستخدم وسائق للخطر، وأنها دفعت اثنين من الهاكرز 100,000 دولار أمريكي كفدية مقابل تدمير هذه البيانات.

مع ذلك، فإن شركة المواصلات الشهيرة لم تكشف عن هويات المخترقين أو أي معلومات بخصوصهم أو كيف دفعت لهم هذا المبلغ الكبير من المال.

مؤخراً، تحدث مصدرين غير معروفين مع رويترز حول هذه المسألة وقالوا أن أوبر دفعت لشاب في ولاية فلوريدا عبر منصة HackerOne، وهي خدمة تساعد الشركات على استضافة الهاكاثون أو محاولات اختراق خدماتها واكتشاف الثغرات ونقاط الضعف مقابل مبلغ تحدده الشركة.

وحتى الآن، لم يكن من الممكن الحصول على هوية رجل فلوريدا هذا أو الشخص الآخر الذي ساعده في القيام بهذه العملية.

جدير بالذكر أن HackerOne لا تدير أو تلعب أي دور في تحديد المكافآت نيابة عن الشركات، لكنها تتلقى معلومات هوية المستقبل (باحثين أمنيين أو هاكرز) عبر IRS W-9 أو W-8BEN قبل أن يتم دفع مبلغ الجائزة.

بمعنى آخر، هناك طرفين يملكان معلومات هاكر فلوريدا هذا، الطرف الأول هم بعض الموظفين في شركة أوبر، والطرف الثاني في شركة HackerOne التي حصلت على معلومات الهوية قبل تحويل المال.

لكن على ما يبدو، فإن كلا الطرفين لم يجد فائدة من متابعة القضية، ربما لأنهم وجدوا أن هذا الهاكر لن يمثل أي خطر على الشركة في المستقبل، أو تنفيذ اختراق أوبر مجدداً.

علاوة على ذلك، قالت المصادر أيضاً أن أوبر أجرت تحليل طب شرعي على جهاز الكمبيوتر الخاص بالهاكر للتأكد من أن جميع البيانات المسروقة قد تم محوها بالكامل، ووقع الهاكر نفسه اتفاقية عدم الكشف لمنع المزيد من المخالفات.

ويذكر أن الهاكر دفع جزء غير معروف من الفدية إلى شخص آخر، الذي كان مسئولاً عن مساعدته على الحصول على وثائق التفويض من GitHub للوصول إلى بيانات أوبر المخزنة في مكان آخر.

جرت أحداث هذا الاختراق في أكتوبر من 2016، وتسبب في تسريب أسماء، ورخص القيادة الخاصة بحوالي 600 ألف سائق في الولايات المتحدة فقط، والأسماء، وعناوين البريد الإلكتروني، وأرقام الموبايل الخاصة بحوالي 57 مليون مستخدم أوبر حول العالم.

مع ذلك، لم يحصل الاختراق على تفاصيل شخصية أخرى، مثل تاريخ مواقع الرحلات، وتواريخ الميلاد، وأرقام بطاقات الائتمان، وأرقام الحسابات المصرفية، وأرقام الضمان الاجتماعي.

وعلم الرئيس التنفيذي السابق لأوبر “ترافيس كالانيك” عن الهجوم في نوفمبر 2016، لكنه اختار عدم إشراك السلطات في الأمر، واعتقد أن الشركة يمكنها التفاوض مباشرة مع الهاكرز للحد من أي ضرر للعملاء.

مع ذلك، فإن هذا التعامل السري مع الهاكرز كلف المديرين التنفيذيين للأمن السيبراني في أوبر وظائفهم، بسبب التعامل مع هذا الحادث.

فقد قام الرئيس التنفيذي الجديد للشركة “دارا خسروشاهي” بتسريح الرئيس التنفيذي للأمن “جو سوليفان” وأحد نوابه “كريج كلارك” الذي عمل على الحفاظ على سرية هذا الخرق الهائل في البيانات.

لا شيء من هذا كان ينبغي أن يحدث، وأنا لن أخلق الأعذار له، وبينما لا أستطيع أن أمحو الماضي، يمكنني أن أتعهد نيابة عن كل موظف أوبر أننا سوف نتعلم من أخطائنا.

نحن نغير الطريقة التي نؤدي بها أعمالنا، ونضع النزاهة في صميم كل قرار نقوم به، ونعمل جاهدين لكسب ثقة عملائنا.

دارا خسروشاهي – الرئيس التنفيذي لشركة أوبر

جدير بالذكر أنّه في الأسبوع الماضي، استقال ثلاثة مديرين آخرين من أمن أوبر من بينهم رئيس العمال بوجا أشوك، وكبير مهندسي الأمن بريثفي راي، ورئيس الأمن الفيزيائي جيف جونز.

عبر
The Hacker News
المصدر
رويترز
الوسوم
اظهر المزيد

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *