Những điều ít biết về vụ hacker tấn công Uber

MrQuậy

Well-Known Member
24/09/2013
178
2.221 bài viết
Những điều ít biết về vụ hacker tấn công Uber
Uber vừa công khai vụ việc năm ngoái hacker đã tấn công và tiếp cận đến dữ liệu cá nhân của 57 triệu khách hàng và lái xe. Hãng đã giấu nhẹm vụ tấn công này và chỉ mới tiết lộ, vụ việc càng dấy lên những rắc rối pháp lý mà công ty Uber vốn đang gặp nhiều phiền toái phải đối mặt.


1736802.jpg


Theo CNN, vào thời điểm xảy ra vụ tấn công, Uber đã trả cho hacker 100.000 USD để phá hủy dữ liệu và giấu các nhà chức trách cũng như người dùng, rằng thông tin của họ đã bị lấy cắp.

Uber đang cố vớt vát danh tiếng sau một loại những tranh cãi căng thẳng, gồm cả việc sử dụng phần mềm Greyball để trốn tránh các cơ quan giám sát, rồi những rắc rối pháp lý về những bí mật trong bộ phận xe tự lái của Google bị đánh cắp, và cả một loạt khiếu nại quấy rối tình dục và văn hóa công ty độc hại.

Chuyện gì đã xảy ra?

Uber cho biết hai kẻ tấn công đã đột nhập vào công ty hồi cuối năm 2016 và lấy cắp dữ liệu cá nhân, bao gồm số điện thoại, địa chỉ email và tên của 57 triệu người dùng ứng dụng Uber. Trong số đó, tin tặc đã lấy cắp 600.000 giấy phép lái xe của các lái xe cho công ty.

Khosrowshahi nói rằng các hacker đã truy cập dữ liệu thông qua một dịch vụ đám mây của bên thứ ba. TheoBloomberg, chúng đã đột nhập tài khoản GitHub của Uber, một trang web mà nhiều kỹ sư và công ty sử dụng để lưu trữ mã và theo dõi các dự án. Ở đó, hacker đã tìm thấy tên người dùng và mật khẩu, truy cập dữ liệu người dùng Uber lưu trữ trong máy chủ Amazon.

Jeremiah Grossman, giám đốc chiến lược an ninh của công ty bảo mật SentinelOne, nói đây không phải là một vụ hack phức tạp. Các công ty thường xuyên vô tình lưu các thông tin xác thực trong mã nguồn được tải lên GitHub.

1736778.jpg


Giám đốc điều hành Dara Khosrowshahi của UBer

Uber đã trả cho hacker 100.000 USD để "bịt miệng"

Thay vì cảnh báo người dùng và chính quyền về vụ tấn công dữ liệu, Uber đã trả cho các hacker số tiền 100.000 USD để chúng phá hủy dữ liệu đã lấy cắp.

Các cố vấn pháp luật luôn khuyến cáo các công ty không trả tiền cho tin tặc, đồng thời báo cáo các vi phạm cho cơ quan chức năng.

Theo Andrea Matwyshyn, giáo sư luật và khoa học máy tính tại trường Đại học Northeastern, nếu các công ty giúp bọn tội phạm mạng kiếm tiền từ các vụ hack, chúng sẽ chỉ tiếp tục hack để kiếm tiền.

Các công ty thường trả tiền cho tin tặc để lấy lại dữ liệu. Theo nghiên cứu mới của công ty an ninh mạng Bitdefender, dự tính số tiền mà các công ty trả cho tin tặc sẽ lên đến 2 tỷ USD trong năm nay.

Việc Uber trả 100.000 USD cho hacker để giấu nhẹm vụ rò rỉ dữ liệu gần giống với những nỗ lực tống tiền gần đây xảy ra với Netflix và HBO, hơn là các vụ tấn công ransomware. Hacker đe dọa sẽ phát sóng chương trình truyền hình trừ khi các công ty trả tiền cho chúng. Và không công ty nào đồng ý trả tiền cho những kẻ hăm dọa.

Các rắc rối pháp lý mới

Matwyshyn nói rằng có thể Uber sẽ phải đối mặt với hậu quả từ cả hai cơ quan tiểu bang và liên bang. Bốn mươi tám tiểu bang đã có luật về việc thông báo các vụ vi phạm bảo mật, yêu cầu các công ty phải thông báo khi bị tin tặc truy cập vào thông tin cá nhân, trong đó có cả California, nơi Uber đặt trụ sở chính.

Các luật sư bang New York và Massachusetts đã mở các cuộc điều tra vào vụ vi phạm dữ liệu. Tại Washington, Thượng nghị sĩ Richard Blumenthal đã yêu cầu Uỷ ban Thương mại Liên bang (FTC) phải có hành động với Uber và áp đặt hình phạt đáng kể.

"Ủy ban Thương mại Thượng viện nên tổ chức điều trần để yêu cầu Uber giải thích vụ việc – đặc biệt là sự chậm trễ không thể giải thích được trong việc thông báo đến khách hàng và lái xe", Blumenthal, một thành viên của đảng Dân chủ Connecticut cho biết.

Trong khi đó, một phát ngôn viên của FTC cho biết: "Chúng tôi biết về vụ việc vi phạm dữ liệu tại Uber cũng như các hành vi của quan chức Uber từ cuối năm 2016. Chúng tôi đang đánh giá chặt chẽ vấn đề nghiêm trọng này".

Hồi tháng Một, Uber đã đồng ý trả 20 triệu USD cho FTC để giàn xếp vụ hãng lừa dối các lái xe về việc họ có thể kiếm được bao nhiêu tiền khi sử dụng nền tảng Uber.

Tháng Tám, Uber cũng đã xử lý các cáo buộc của FTC về việc họ đã đưa ra những tuyên bố lừa đảo và bảo mật. Tháng 5/2014, một hacker đã truy cập vào dữ liệu của trên hơn 100.000 lái xe Uber. Hơn nữa, FTC cho biết Uber đã không theo dõi cách nhân viên truy cập thông tin khách hàng.

Theo CNN, FTC đã cho Uber 180 ngày để kiểm toán độc lập về thực tiễn an ninh bảo mật trong công ty.

1736781.jpg


Thu hút sự chú ý của quốc tế

Các quốc gia khác cũng có luật tương tự về các vụ tấn công mạng. Vừa qua, cơ quan bảo mật hàng đầu của Anh đã khiển trách Uber. "Nếu các công dân Anh bị ảnh hưởng, chúng tôi sẽ phải được thông báo. Những vụ việc cố tình che giấu nhà chức trách sẽ bị án phạt cao hơn".

Còn Australia cho biết họ đã biết về vụ tấn công, và "bắt đầu đưa ra những thẩm vấn với Uber". Cơ quan bảo vệ dữ liệu Italia nói họ đã đánh giá quy mô vụ vi phạm. "Chúng tôi rất sốc về tình trạng không minh bạch đối với người dùng, và chúng tôi sẽ điều tra kỹ". Tại Philippine, Ủy ban riêng tư quốc gia cũng đã triệu tập các quan chức Uber địa phương lên họp.

Tội giấu diếm nhà chức trách và khách hàng

Về quy mô, vụ tấn công vào Uber không lớn bằng các vụ tấn công khác. Chẳng hạn tội phạm mạng đã nhắm vào Equifax hồi đầu năm nay, lấy thông tin cá nhân – gồm tên, địa chỉ, số an ninh xã hội – của trên 145 triệu người. Năm 2013, vụ tấn công vào Yahoo cũng khiến 3 tỷ tải khoản bị ảnh hưởng. Các lãnh đạo của hai công ty trên đã phải chứng nhận trước Quốc hội về những thất bại, yếu kém trong quản lý bảo mật và rủi ro tiềm tàng với người dùng.

Nhưng vụ tấn công của Uber lại hác – công ty cố tình giấu giếm và không thông báo đến cơ quan chức năng hay người dùng. Theo các nhà phân tích, vụ việc có thể không ảnh hưởng đến thái độ của người dùng với Uber, nhưng sẽ tốn kém cho Uber, hãng sẽ phải giàn xếp và vụ kiện và phí pháp lý.

1736806.jpg


Tương lai của Uber

Khi Khosrowshahi trở thành CEO Uber tháng Tám vừa qua, ông kế thừa một loạt các rắc rối tranh cãi. Ngoài rắc rối pháp lý, Uber còn đối mặt với sự chỉ trích về vấn đề quấy rối tình dục, trả lương thấp và lừa dối lái xe, tăng giá cước trong các thời điểm khủng hoảng.

CEO mới muốn cải thiện danh tiếng của Uber, ông nói: "Dù tôi không thể xóa hết quá khứ, nhưng tôi có thể cam đoan với mỗi nhân viên Uber rằng chúng tôi sẽ học từ những sai lầm của mình".

Khosrowshahi nói công ty đã sa thải hai cá nhân liên quan đến vụ bảo mật. Joe Sullivan, giám đốc bảo mật của Uber, không còn làm việc cho công ty nữa. Cựu CEO Travis Kalanick, người là CEO Uber khi vụ tấn công xảy ra, vẫn ở trong ban giám đốc công ty. Trong khi Khosrowshahi hứa hẹn thay đổi, vị trí của Kalanick trong ban lãnh đạo vẫn như một lời nhắc nhở rằng nội bộ Uber đang có một người từng gây vô vàn rắc rối.

Uber dự kiến sẽ tiến hành IPO vào năm 2019.

Theo Vnreview​
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên