Uber’e İngiltere den 500bin Sterlin Ceza

Uber verileri kurtarmak için hacker kiraladı

Uber Technologies çalınan verilerin gizliliğini korumak adına bir grup hacker ile anlaştı.

Şirket, Geçen yıl salı günü yaptığı açıklamada. Bilgisayar hizmet sağlayıcılarının yaklaşık 57 milyon hesabın kişisel bilgilerini açığa çıkartan büyük bir ihlali gizli tutmak için bilgisayar korsanlarına 100 bin dolar ödedi. ABD’li şirketin olayla ilgili örtbas edişinin keşfedilmesi, iki kurucu üyesinin saldırıya tepki vermesinden sorumluydu. Dara Khosrowshahi, kurucularından Travis Kalanick’i Ağustos ayında CEO olarak atadığını belirtti.

Khosrowshahi, bir blog yazısında “Hiçbir şey olmamalıydı ve bunun için mazeret göstermeyeceğim” dedi.
İhlal Ekim 2016’da gerçekleşti ancak Khosrowshahi, ancak daha yeni öğrenmiş olduğunu söyledi.
Bu saldırı, cinsel taciz iddialarının üstünde Uber için bir başka tartışmadır. Ticaret sırlarının hırsızlığı iddiasıyla dava açılmıştır ve Haziran ayında Kalanick’in devrilmesiyle son bulan çok sayıda federal ceza müfettişi vardır.

ÇALINAN HESAPLAR

Çalınan bilgiler arasında, dünyadaki Uber kullanıcılarının adları, e-posta adresleri ve cep telefonu numaraları ile 600.000 ABD’li sürücünün adları ve lisans numaraları yer alıyor.

Uber yolcuları dolandırıcılık kanıtları olmadığı için endişelenmeleri gerekmiyor; lisans numaraları çalınan sürücülere ücretsiz kimlik hırsızlığı koruması ve kredi izleme teklif edileceğini belirtti.

İki korsan, mühendislerin yazılım kodu üzerinde işbirliği yapmalarını sağlayan GitHub’da saklanan mülkiyet bilgilerine erişebildi. Orada iki kişi, Sürücü ve yolcuların verilerini indirebildikleri ayrı bir bulut hizmetleri sağlayıcısı için Uberin kimlik bilgilerini çaldı.

Bir GitHub sözcüsü, saldırının GitHub’ın güvenliğinin başarısızlığının bir sonucu olmadığını söyledi.
Khosrowshahi, “Geçmişi silmesem de hatalarımdan öğreneceğim her Uber çalışanı adına taahhütte bulunabilirim” dedi.

Bloomberg News, ilk önce Salı günü verilerin ihlal edildiğini bildirdi:
“İş yapma biçimimizi değiştiriyoruz, aldığımız her kararın temelinde bütünlük sağlıyor ve müşterilerimizin güvenini kazanmak için çalışıyoruz” dedi.

Khosrowshahi, Uberin düzenleyicilere haber vermeye başladığını söyledi. Bir sözcüsü, New York başsavcısının soruşturma açtığını söyledi.

Avustralya ve Filipinler’deki yetkililer, Çarşamba günü konuyla ilgileneceklerini açıkladı. Uber, yetkililerle birlikte çalıştıktan sonra Asya’daki sorunlarını düzeltmek istiyor ve Japonya’nın SoftBank Grubu’nun liderliğindeki yeni bir yatırım için konsorsiyumla pazarlık yapıyor. SoftBank bu konuda yorum yapmaktan kaçındı.

Uber, olayın ele alınışındaki rolü nedeniyle baş güvenlik görevlisi Joe Sullivan ve bir bakan yardımcısı Craig Clark’ı bu hafta görevden attığını söyledi. Facebook Inc.’deki eski güvenlik görevlisi ve federal bir savcı olan Sullivan, Uber için güvenlik şefi ve genel müdür yardımcısı olarak görev yapıyordu.

Sullivan, Reuters tarafından ulaşıldığında yorum yapmayı reddetti. Clark’a yorum için hemen ulaşılamadı.
Kalanick, Kasım 2016’da ihlali öğrendi ve olaydan bir ay sonra konuyla ilgili bilgiyi Reuters’a verdi. Verdiği bilgide “O tarihte, şirket tüketici verileri ile ilgili ABD Federal Ticaret Komisyonu ile görüşmeler yapıyorduk” dedi.

Kurul komisyon tarafından ihlal soruşturmasını soruşturdu ve o dönemde Uberin genel hukuk danışmanı olan Kalanick’in ne de Salle Yoo’nun örtbas etme olayına karışmadığı sonucuna vardıklarını söyledi.

Uber, Salı günü, sürücülerin lisans bilgilerinin çalınmasını bildirmekle yükümlü olduğunu ve bunu yapmadığını söyledi. Kalanick, sözcüler aracılığıyla yorum yapmayı reddetti. Eski CEO, Uber yönetim kurulunda ve Khosrowshahi ile düzenli olarak istişarede bulunuyor.

Suçlar ödeniyor

Her ne kadar bilgisayar korsanlarına yapılan ödemeler kamuya açık bir şekilde tartışılsa da. ABD Federal Soruşturma Bürosu ve özel güvenlik şirketleri, Reuters’a, giderek artan sayıdaki verileri kurtarmak için şirket çalışanlarının  korsanlara para ödeklerini söyledi.

California merkezli siber güvenlik şirketi, Güvenlik’in kurucularından Oren Falkowitz, “İnternetteki kötü adam olma ekonomisi inanılmaz derecede elverişli” dedi. Uber, sürücü ve yolcu verilerini koruyamamış bir geçmişe sahiptir.  Hackerlar daha önce Uber sürücüleri ve 2014 yılında çalışanlarının yolcuları izlemek için “Tanrı Görünümü” adlı bir yazılım aracı kullandıklarını kabul eden şirket hakkında bilgi aldı.

Khosrowshahi Salı günü yaptığı açıklamada, ABD Ulusal Güvenlik Ajansı’nın eski genel müdürün Matt Olsen’i şirketin güvenlik ekiplerini ve süreçlerini yeniden yapılandırmak üzere olduğunu söyledi. Şirket ayrıca, FireEye Inc’in sahibi olduğu bir siber güvenlik şirketi olan Mandiant’i ihlalini araştırmak için kiraladı.

Uber’e İngiltere den 500bin Sterlin Ceza

Uber Technologies İngiltere’nin veri koruma düzenleyicisine ülkedeki ulaşım hizmetini kullanan insanların büyük çoğunluğunu temsil eden yaklaşık 2,7 milyon kullanıcı hesabının 2016 veri ihlallerinden etkilendiğini bildirdi.
Şirketin geçtiğimiz hafta dünya çapında 57 milyon kullanıcıya ilişkin olarak açıkladığı ihlal, isimlerin, cep telefonu numaralarının ve e-posta adreslerinin tehlikeye girdiğini gösterdi, şirket UK Bilgi Komiseri Ofisine (ICO) verildi.
ICO, Uber’in etkilenen İngiliz kullanıcılarını, hem Uber sürücülerini hem de yolcularını mümkün olan en kısa sürede uyarmasını beklediğini söyledi.

Bu ihlal, Uberin sürücülerde ciddi ceza suçları ve arka plan kontrolleri yapma yaklaşımını gerekçe göstererek, Londra ulaştırma işletme lisansını Eylül ayında elden geçirmesinden sonra Silikon Vadisi şirketine geriledi.
Şirketin yeni genel müdürü geçen hafta yaptığı açıklamada Uber, o tarihteki büyük ihlalleri açıklamadı.
Düzenleyici kurumlara veri ihlallerini açıklamakta başarısız olan mevcut İngiliz kanunları uyarınca, maksimum 500.000 sterlin (670,600 $ ) para cezası verilir.

İnternette ve mobil uygulama trafik ölçüm firması SimilarWeb’e göre İngiltere’de Uber son üç ayda yaklaşık 2,85 milyon kullanıcıya ulaştı ve İngiliz Uber kullanıcılarının çoğunun bu ihlalde yakalandığını belirtti.
Uberin Çarşamba günü kendi web sitesinde, bağımsız adli tıp uzmanlarının yolculuk geçmişi geçmişi, kredi kartı numaraları, banka hesap numaraları veya doğum tarihlerinin ihlal edildiğine dair herhangi bir bilgi görmediğini söyledi.

Şirket, “Herhangi bir sürücünün herhangi bir işlem yapması gerektiğine inanmıyoruz. Olayla bağlantılı dolandırıcılık veya kötüye kullanma kanıtı görmedik. Etkilenen hesapları izliyoruz ve onları daha fazla dolandırıcılık koruması için işaretledik. ” dedi.

İlginizi çekebilir: Yahoo dan ihlal suçlaması bekleniyor

Uber, Danimarka ve Macaristan da dahil olmak üzere birçok ülkeden ayrılmak zorunda kalmış ve birden fazla ABD eyaletinde ve dünyada düzenleyici savaşlarla karşı karşıya kalmıştır.