אובר חוותה פריצה למערכותיה: האם כדי למחות על תנאי העסקת הנהגים?

אובר (Uber) חוותה באחרונה פריצה, וכעת היא בודקת מה הנזקים של האירוע. החברה דיווחה ביוזמתה כי עברה "אירוע אבטחת סייבר", וכי פתחה בחקירת הפריצה וכן הודיעה למשטרה עליה.

לפי הצהרה של אובר, החברה לא מצאה ראיות לכך שלהאקר הייתה גישה ל"נתונים רגישים של משתמשים (כגון היסטוריית נסיעות)".

עם זאת – על פי ההערכות והדיווחים – הפורץ, שכלל הנראה פעל לבד, דווקא בהחלט כן השיג גישה למערכות פנימיות של שירות הנסיעות המשותפות והשליחויות.

הניו יורק טיימס יצר קשר עם ההאקר, ולדבריו הוא בן 18 בלבד. הפורץ שלח לעיתון הוכחה להגעה שלו למערכות החברה, באמצעות תמונות המציגות גישה לדואר האלקטרוני, לשירותי האחסון בענן ולקוד המקור של אובר. מידע זה שותף גם עם חוקרי אבטחה.

סם קארי, מומחה אבטחה שבודק את הכשל באובר, היה גם הוא בקשר עם ההאקר ואישר לטיימס כי לפורץ יש "גישה כמעט מלאה לאובר". לדברי קארי, ייתכן שההאקר לא יודע מה לעשות עם הגישה שהשיג.

העובדה שלהאקר יש, כך מסתמן, גישה למערכות הפנימיות של חברת שיתופי הנסיעות מעלה חששות לגבי מידע רגיש של החברה עצמה מחד, ונתוני משתמשיה הרבים מאידך, אך השאלה האם אלו נפגעו עדיין לוטה בערפל כעת, בחלוף שלושה ימים ממועד חשיפת ההפרה.

הפריצה התגלתה – עקב הודעת ההאקר בסלאק

הבשורה על אירוע האבטחה הגיעה בדמות הודעה שפורסמה בערוצי הסלאק (Slack) של אובר – המשמשים כפלטפורמת תקשורת פנימית בין העובדים – שבה ההאקר, ככל הנראה, דיווח כי החברה נפגעה מהפרת מידע. 

לפי שני עובדים אנונימיים באובר, החברה הורידה את ערוצי הסלאק  שלה למצב לא מקוון, וגם מערכות פנימיות אחרות אינן נגישות עוד. החברה מצידה טוענת כי שהמערכות הפנימיות שלה חזרו לאינטרנט.

להערכת קארי, כפי שדיווח ה-ג'ורנל, שההאקר הונה עובד אובר כדי להשיג ממנו גישה לרשת הפנימית של החברה ואחרי שנכנס אליהם, ההאקר הצליח להשיג אישורים אחרים שיאפשרו לו להרחיב את גישתו הלאה.

אובר הכירה בהפרה של אבטחת המערכות שלה אך הבטיחה שאין לה אינדיקציות לכך שצי הרכבים, לקוחותיה או נתוני התשלום הושפעו משאירע.

בעדכון אחרון שפרסמה החברה נאמר: "אין לנו ראיות לכך שהתקרית כללה גישה לנתוני משתמשים רגישים (כמו היסטוריית נסיעות). כל השירותים שלנו כולל Uber, Uber Eats, Uber Freight ואפליקציית Uber Driver – פועלים".

מניעי הפריצה לא ברורים. ההאקר שוחח גם עם הוושינגטון פוסט, לו אמר כי המתקפה הייתה "בשביל הכיף". עוד הוא טען כי "בעוד כמה חודשים" יתכן שיתחיל לפרסם את קוד המקור שבידיו.

זהות ההאקר אינה ידועה, והוול סטריט ג'ורנל טוען כי כינויו בטלגרם הוא 'קנקן תה' (Tea Pot). עוד דווח כי ההאקר פרץ לאובר כדי להדגים את האבטחה החלשה שלה, כך לפי דבריו לטיימס. ואולם בהודעה שנשלחה לעובדי אובר ב-סלאק הוסיף הפורץ דברים שעשוים להצביע על סיבה נוספת שעומדת מאחורי הפריצה – השכר ותנאי ההעסקה הלא הוגנים של נהגי אובר.

מנכ"ל אובר, דרה קוסרשאהי. צילום: פליקר

עדיין מתמודדת עם כשלים באבטחה מהעבר

יצוין כי ממש בימים אלו, על רקע הפריצה החדשה, עסוקה אובר בהתמודדות עם כשלי אבטחה כואבים מן העבר.

מנכ"ל החברה, דרה קוסרשאהי, אמר ביום ו' האחרון כי הוא לא סומך על ראש תחום האבטחה של החברה לשעבר, ג'ו סאליבן, לאחר חקירת פריצת מידע שחוותה החברה ב-2016.

הדברים נאמרו ביום ו' בעת מתן עדות במשפט הפלילי של סאליבן. קוסרשאהי אמר עוד כי סאליבן השמיט ממנו מידע קריטי על היקף הפרת הנתונים ב-2016, אירוע אבטחה חמור שכלל הפרת נתונים של כ-57 מיליון נוסעים ונהגים, שעליו שמו האקרים את ידיהם.

"החלטתי לפטר את ג'ו כי הוא היה קצין הביטחון הראשי שלי ולא יכולתי לסמוך יותר על שיקול הדעת שלו כעובד שלי", סיפר קוסרשאהי בבית המשפט. לדבריו, סאליבן השמיט עובדות מסוימות מהודעת הדוא"ל המסכמת את שאירע, אותה שלח למנכ"ל לגבי התקרית. למשל הוא לא עדכן את הבוס שלו בנתונים כמה נוסעים ונהגים הושפעו מהפריצה, בסוג המידע שנלקח ובנתונים שהורדו על ידי ההאקרים, כך לדברי קוסרשאהי.

מנכ"ל אובר גם העיד שסאליבן לא סיפר לו שאובר שילמה להאקרים 100 אלף דולר, ואמר שהסיכום של סאליבן הוביל אותו להניח שרק אדם אחד פרץ לשרת, ושאותו אדם קיבל תשלום רק לאחר שאובר הבינה את זהותו. לדברי קוסרשאהי, הוא למד את גודל הפריצה הרב רק לאחר שפתח בחקירה עצמאית בנושא.