The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

22.11.2017 11:31  Uber раскрыл сведения об утечке персональных данных 57 млн пассажиров

Компания Uber раскрыла информацию о произошедшем в октябре 2016 года инциденте, в результате которого злоумышленники получили доступ к данным в облаке Amazon AWS и смогли загрузить сведения о 600 тысячах водителей и 57 млн пассажиров сервиса.

Взлом был произведён путём перехвата параметров входа в приватную секцию GitHub, в которой разрабатывалось программное обеспечения для работы сервиса. В составе кода атакующие нашли параметры аутентификации для Amazon AWS S3 и подключившись к ним смогли загрузить актуальные данные о пользователях и водителях. В загруженных данных фигурировали ФИО, номера водительских удостоверений (для водителей), email и номера телефонов. По заверению представителей Uber сведения о местоположении, история передвижения, параметры счетов, коды кредитных карт и номера социального страхования не пострадали.

Особенностью инцидента стало то, что Uber пошёл на поводу у атаковавших и выплатил им 100 тысяч долларов в обмен на обещание удалить полученную информацию и не сообщать о произошедшем. Гарантией исполнения обещания стало то, что удалось выяснить личности атаковавших и в случае неисполнения обязательства им грозил серьёзный срок заключения. Передача денег была оформлена как выплата вознаграждения за участие в программе по выявлению уязвимостей (Uber Engineering Bug Bounty), подразумевающей подписание соглашения о неразглашении.

Информация о взломе раскрыта после вступления на пост нового руководителя компании, который считает недопустимым сокрытие подобных инцидентов. Новый CEO также уволил курирующего оформление сделки юриста и попросил покинуть свой пост руководителя службы безопасности. Сведения о выплате и увольнениях получены изданием Bloomberg из своих источников.

  1. Главная ссылка к новости (https://www.bloomberg.com/news...)
  2. OpenNews: Взлом 2013 года привёл к утечке учётных записей 3 миллиардов пользователей Yahoo
  3. OpenNews: Equifax подтвердил, что взлом произошёл из-за игнорирования обновления Apache Struts
  4. OpenNews: Второй взлом инфраструктуры BitTorrent-клиента Transmission
  5. OpenNews: Уязвимость в Apache Struts стала причиной утечки персональных данных 143 млн американцев
  6. OpenNews: Фонд СПО сообщил об утечке данных пользователей из-за забытой резервной копии
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: uber
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, aarghm (?), 12:18, 22/11/2017 [ответить] [показать ветку] [···]    [к модератору]
  • +23 +/
    облакаааа белогривые лошаадки...
    Кто там больше всех топит за певод всего ився в облака..ну ну
     
     
  • 2.3, ryoken (ok), 12:23, 22/11/2017 [^] [ответить]     [к модератору]
  • +5 +/
    Моей личной паранойе более чем очевидно, что храня данные в облаках , вы подст... весь текст скрыт [показать]
     
     
  • 3.26, Аноним (-), 16:23, 22/11/2017 [^] [ответить]     [к модератору]  
  • –2 +/
    ну, для бекапов котиков в каком нибудь криптоконтейнере с сохраненной где нибудь... весь текст скрыт [показать]
     
     
  • 4.37, Аноним (-), 17:45, 22/11/2017 [^] [ответить]    [к модератору]  
  • +3 +/
    Вы уже стали жертвой выполнения плана?
     
     
  • 5.47, Аноним (-), 19:46, 22/11/2017 [^] [ответить]    [к модератору]  
  • –3 +/
    > Вы уже стали жертвой выполнения плана?

    Это не важно, важно то, что ты стал жертвой его невыполнения.
    Не спеши реагировать, продолжай перечитывать до просветления.

     
  • 4.59, Аноним (-), 23:11, 22/11/2017 [^] [ответить]    [к модератору]  
  • +3 +/
    Нравятся мне бывалые люди. Всегда расскажут, как оно на самом деле.
     
  • 4.70, Докторская (?), 10:36, 23/11/2017 [^] [ответить]    [к модератору]  
  • +/
    зачем ты рассказываешь нам здесь о своей влажной мечте ? успокойся, план не будет входить в твою запрещенку
     
  • 2.4, Andrey Mitrofanov (?), 12:24, 22/11/2017 [^] [ответить]    [к модератору]  
  • +/
    > облакаааа белогривые лошаадки...
    > Кто там больше всех топит за певод всего ився в облака..ну ну

    https://www.urbandictionary.com/define.php?term=follow%20the%20white

     
  • 2.6, brak (?), 12:36, 22/11/2017 [^] [ответить]    [к модератору]  
  • +13 +/
    Ага, дело то именно в облаке. А хранить пароли надо на github
     
     
  • 3.49, Obiron (?), 20:15, 22/11/2017 [^] [ответить]    [к модератору]  
  • +/
    Ага, пляж, луна и йети. Где взаимосвязь? При чем тут облако? Если чуваки хранили данные доступа к облаку в исходниках разрабатываемого ПО на гитхабе.
     
     
  • 4.52, Аноним (-), 20:53, 22/11/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    ну некоторые разработчики не находят различий между -- кодом, конфигом, бэкапом,... весь текст скрыт [показать]
     
     
  • 5.61, Obiron (?), 23:57, 22/11/2017 [^] [ответить]     [к модератору]  
  • +/
    Н-дэ Глупо получилось, чуваку залепил коммент про взаимосвязь а на нить не гл... весь текст скрыт [показать]
     
  • 2.11, samm (ok), 13:04, 22/11/2017 [^] [ответить]    [к модератору]  
  • +/
    о да, они должны были делать сервис на своем домашнем компутере  )))
     
     
  • 3.13, пох (?), 13:09, 22/11/2017 [^] [ответить]     [к модератору]  
  • +5 +/
    нанять инженеров, арендовать датацентры, построить собственную инфраструктуру д... весь текст скрыт [показать]
     
     
  • 4.29, Аноним (-), 16:36, 22/11/2017 [^] [ответить]     [к модератору]  
  • +/
    новый CEO использует инцидент в каких то своих внутренне-корпоративных целях, су... весь текст скрыт [показать]
     
     
  • 5.33, Рыба ест людей (?), 17:13, 22/11/2017 [^] [ответить]    [к модератору]  
  • +4 +/
    Инфа сотка?
     
     
  • 6.74, Аноним (-), 01:14, 24/11/2017 [^] [ответить]    [к модератору]  
  • +/
    стосороковка.
     
  • 5.34, пох (?), 17:26, 22/11/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    по-моему нет смысла искать черную кошку в темной комнате, когда держишь ее уже з... весь текст скрыт [показать]
     
     
  • 6.75, Аноним (-), 17:18, 24/11/2017 [^] [ответить]    [к модератору]  
  • +/
    чем выше стандарт безопасности, тем вероятнее то, что данные теряются на неритмичной основе, "терять" данные это функция прямо заложенная в безопасность и для фейла нужна двойная утечка.
     
  • 4.66, лютый жабист__ (?), 05:34, 23/11/2017 [^] [ответить]     [к модератору]  
  • –2 +/
    Не подозревал ли ты, дорогой пох, что у людей с заточенными под это руками получ... весь текст скрыт [показать]
     
  • 2.41, Denis (??), 18:23, 22/11/2017 [^] [ответить]    [к модератору]  
  • +4 +/
    Чукча, не читатель, чукча писатель? Облака то тут при чем? Украли логины и пароли. Имея их не важно где данные хранятся, хоть на localhost. И если нет мозга включить MFA, то это не проблема облаков.
     
  • 2.48, key (??), 19:47, 22/11/2017 [^] [ответить]    [к модератору]  
  • +5 +/
    Хранят пароли доступа в git, а виноваты облака. Л-логика(хотя облака это действительно часто зло).
     
     
  • 3.53, нах (?), 20:59, 22/11/2017 [^] [ответить]     [к модератору]  
  • –2 +/
    в github В public github Хранили бы в git на компьютерах разработчиков - их мо... весь текст скрыт [показать]
     
     
  • 4.60, Аноним (-), 23:14, 22/11/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > В public github.

    В private github.

     
  • 3.79, Kerria (ok), 15:19, 28/11/2017 [^] [ответить]    [к модератору]  
  • +/
    облако - однозначное зло
     
     ....нить скрыта, показать (24)

  • 1.2, ryoken (ok), 12:22, 22/11/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +9 +/
    > Информация о взломе раскрыта после вступления на пост нового руководителя компании, который
    > считает недопустимым сокрытие подобных инцидентов. Новый CEO также  уволил курирующего
    > оформление сделки юриста и попросил покинуть свой пост руководителя службы безопасности.

    Ай малаццаа.

     
  • 1.5, Аноним (-), 12:33, 22/11/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +6 +/
    Теперь для финального clean-up'а Уберу надо найти и уволить источник Блумберга.
     
     
  • 2.25, Michael Shigorin (ok), 16:23, 22/11/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > Теперь для финального clean-up'а Уберу надо найти и уволить

    uber'ать?

     
  • 2.27, EHLO (?), 16:31, 22/11/2017 [^] [ответить]     [к модератору]  
  • +/
    вероятно уже ... весь текст скрыт [показать]
     
  • 1.7, ЫКУ (?), 12:39, 22/11/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А люди невинные пострадали ни за что.
     
     
  • 2.9, Аноним (-), 12:52, 22/11/2017 [^] [ответить]    [к модератору]  
  • +4 +/
    Как ни за что, они пострадали ради высшего блага, заработка мошенников.
     
     
  • 3.12, Obiron (?), 13:06, 22/11/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    Они пострадали из-за головотяпства сотрудников Kацкерам не пришлось что-то напр... весь текст скрыт [показать]
     
  • 2.10, Bourne Again Supremacy (?), 12:59, 22/11/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > А люди невинные пострадали ни за что.

    There's a sucker born every minute.

     
  • 1.14, Аноним (-), 13:18, 22/11/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +5 +/
    > В составе кода атакующие нашли параметры аутентификации

    уж сколько раз твердили миру: не храните аутентификационные данные в репозитории с кодом…

     
     
  • 2.54, Аноним (-), 21:08, 22/11/2017 [^] [ответить]    [к модератору]  
  • +/
    сколько? можно все с реферальными ссылочками?
     
  • 1.15, Аноним (-), 13:39, 22/11/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +19 +/
    Уволили директора и лоера, а виноват небось андрей с бородой, который ездит по конференциям и рассказывает про крутость девопса и докера
     
     
  • 2.35, пох (?), 17:29, 22/11/2017 [^] [ответить]     [к модератору]  
  • –2 +/
    в смысле - мало ездил, скушно рассказывал Тут ни девопса, ни докера точнее, вс... весь текст скрыт [показать]
     
     
  • 3.38, _ (??), 18:13, 22/11/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    Хотя я и понимаю твою боль, но это уже пох каламбурчик с Они уже в облаках ... весь текст скрыт [показать]
     
     
  • 4.55, пох (?), 21:13, 22/11/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    в силу зеленой плесени в головах граждан, кстати, это может, внезапно, сделаться... весь текст скрыт [показать]
     
  • 2.50, key (??), 20:32, 22/11/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    андрей то все правильно рассказывает
    виноват тот кто коммитом пароли в гит захардкодил
     
     
  • 3.62, Аноним (-), 00:02, 23/11/2017 [^] [ответить]     [к модератору]  
  • +3 +/
    А захардкодил как раз такой, которому А чо я буду с зависимостями и отдельным с... весь текст скрыт [показать]
     
  • 3.67, Анотоним (?), 08:47, 23/11/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    виноват тот, кто его собеседовал, тот, кто этого дятла принял на работу, тот, к... весь текст скрыт [показать]
     
  • 1.16, vz (?), 14:04, 22/11/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    так и надо халявщикам
     
  • 1.17, Аноним (-), 14:07, 22/11/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Нечего было слазить с PostgreSQL вот и безопасность упала.
     
  • 1.18, Аноним (-), 14:21, 22/11/2017 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Каким образом удалось узнать личности Очень сомневаюсь что атаковавшие доверели... весь текст скрыт [показать]
     
     
  • 2.20, Анонимно (?), 14:50, 22/11/2017 [^] [ответить]    [к модератору]  
  • +/
    Вы не рассматриваете вариант "Блумберг врёт"?
     
  • 2.21, пох (?), 15:04, 22/11/2017 [^] [ответить]     [к модератору]  
  • +3 +/
    когда в конце-концов приходишь за невиртуальными деньгами - с тобой приходит нев... весь текст скрыт [показать]
     
     
  • 3.39, _ (??), 18:21, 22/11/2017 [^] [ответить]     [к модератору]  
  • +/
    Именно так В контракте будет изучение возможности взлома В результатах - взлом... весь текст скрыт [показать]
     
     
  • 4.40, _ (??), 18:23, 22/11/2017 [^] [ответить]    [к модератору]  
  • +/
    >мы купим наши дыры

    копрорация добра к примеру :-)

     
  • 2.23, Аноним (-), 15:55, 22/11/2017 [^] [ответить]    [к модератору]  
  • +/
    > Очень сомневаюсь что атаковавшие доверели свои персональные данные Uberу.

    Номер телефона — тоже персональные данные.

     
  • 1.19, Аноним (-), 14:49, 22/11/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Пост нового СЕО обошелся в 100 килобаксов полагаю.
    В целом - мутная история.
     
  • 1.22, ввв (?), 15:37, 22/11/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Странно, что этого (нового) дыректора сразу же не убрали.
     
  • 1.24, th3m3 (ok), 15:58, 22/11/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >номера социального страхования

    Это им ещё зачем? Бюрократия на ровном месте?

     
     
  • 2.78, linuxquestions.ru (ok), 08:32, 27/11/2017 [^] [ответить]     [к модератору]  
  • +/
    Это нужно, чтобы передавать данные в IRS американскую налоговую SSN нужен тол... весь текст скрыт [показать]
     
  • 1.28, Аноним (-), 16:32, 22/11/2017 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    я наверное ничего ни в чем не понимаю, но во обьясните мне -- за что уволили юри... весь текст скрыт [показать]
     
     
  • 2.30, EHLO (?), 16:37, 22/11/2017 [^] [ответить]    [к модератору]  
  • +/
    сделала все что было в их силах чтобы защитить интересы пользователей, дипломатически все разрешили. Или я неправ?
    В интересах пользователей было узнать что их данные утекли.
     
     
  • 3.31, Аноним (-), 16:48, 22/11/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    утекли, но потом удалились, как я понял, и не использовались во вред пользователям
     
     
  • 4.32, EHLO (?), 16:59, 22/11/2017 [^] [ответить]    [к модератору]  
  • +/
    > утекли, но потом удалились, как я понял, и не использовались во вред
    > пользователям

    их пообещали удалить. Ты бы поверил, если бы данные твоей карты утекли, или заблокировал бы ее?

     
  • 4.71, Аноним (-), 14:20, 23/11/2017 [^] [ответить]    [к модератору]  
  • +/
    одни исследователи безопасности нашли эти данные в открытом доступе, значит и другие могли найти. а пользователи и не знают что их данные убер слил.
     
  • 2.36, пох (?), 17:38, 22/11/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    за излишнюю ревность в спасении репутации Которая от этого хода не улучшилась, ... весь текст скрыт [показать]
     
     
  • 3.43, _ (??), 18:48, 22/11/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    Да брось Банальная зачистка Когда угонят уже у нового СЕО - будет всё то же са... весь текст скрыт [показать]
     
     
  • 4.57, пох (?), 21:22, 22/11/2017 [^] [ответить]    [к модератору]  
  • +/
    > Да брось. Банальная зачистка.

    ну ты же понимаешь, что если бы не был ни в чем таком замешан - пришлось бы либо платить отступное, либо оставить в покое, даже при очень большом желании избавиться.
    И наоборот - покрывать его новому CEO - значит рисковать уже самому вляпаться в зависимость от его тайных знаний.

    > Когда угонят уже у нового СЕО - будет всё то же самое :-\

    совершенно не факт. Новый может пойти совсем другой дорожкой, решая те же проблемы иначе.
    Ну, или, при удаче и заинтересованности - предотвращая до перехода в критическую стадию.
    Это совершенно не должно помешать его основной работе - делать деньги методом тотальной слежки за своими клиентами (кто-то, помнится, недавно рассказывал об интересном применении battery api ;-)
    Даже и наоборот - чем больше клиенты доверяют, тем охотнее они все о себе сольют ;-)

    > И главное - ни пол бакса они на этом не потеряли. Всё

    они в этом случае скорее приобрели.

     
  • 1.58, Lolwat (?), 22:21, 22/11/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Сколько раз уже это было сказано, но что в лоб что, по лбу, не храните пароли, тоЛкины, ключи, и вообще хранить конфиги в одно месте с кодом это очень глупая затеря.
    Я ради прикола искал проекты на GitHub по ключевым словам типа “ssh”, потом смотрел содержимое коммитов на предмет ssh ключей и паролей.
    Потом оставлял им неприличное сообщение в /etc/banner и удалял репозитории  (если ключи или пароли работали на GitHub)
     
  • 1.68, Аноним (-), 09:30, 23/11/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Где качнуть одним архивом?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor