Wielki wyciek danych w Uberze. Firma zapłaciła okup! Po wejściu RODO taki numer już nie przejdzie
- Do wycieku doszło, bo zabezpieczenia były kiepskie - wypalił bez ogródek nowy szef Ubera. Nie dość na tym, ujawnił, że firma zapłaciła hakerom 100 tys. dolarów cyberharaczu. Najgorsze, że kolejny raz o wpadce giganta dowiadujemy się po czasie. Na szczęście wkrótce się to zmieni. Po wejściu w życie Rozporządzenia o Ochronie Danych Osobowych (RODO) za niewłaściwą ochronę danych firmy zapłacą gigantyczne kary. Już za pół roku.
W 2016 roku hakerzy wykradli z Ubera dane 57 mln klientów. W ręce włamywaczy trafiły imiona i nazwiska, numery telefonów oraz adresy mailowe. Mimo że wyciek dotyczył tylko części użytkowników firmy, to cyberprzestępcy weszli w posiadanie aż 50 mln pasażerów i 7 mln kierowców. Na szczęście ich ręce nie trafiły szczegóły kart płatniczych i historii przejazdów
Być może wpadka Ubera przeleżałaby pod dywanem, gdyby nie zmiany szefów w Uberze. Incydent z 2016 roku ujawnił nowy CEO Dara Khosrowshahi, który o zdarzeniu sam dowiedział się niedawno. Travis Kalanick, założyciel firmy, odszedł ze stanowiska po tym, gdy padły oskarżenia, że wiedział o molestowaniu pracowników i nic z tym nie zrobił.
Decyzję szefów Ubera o wyłożeniu 100 tys. dolarów, by hakerzy zniszczyli wykradzione dane, można różnie oceniać. Z jednej strony zrobili wszystko, by użytkownicy nie ucierpieli, ale jest też druga strona medalu. A jednak Uber siadł z cyberprzestępcami do jednego stołu i negocjował. Konsekwencje mogą być poważne, bo przestępcy dostali sygnał, że od wielkich firm mogą wyciągnąć sporo pieniędzy. Wystarczy tylko znaleźć czuły punkt i uderzyć.
Nawet zwykłym użytkownikom eksperci do spraw bezpieczeństwa zalecają, by nigdy nie płacili oszustom okupu. W końcu nie mamy pewności, że włamywacz słowa dotrzyma. Zresztą trudno ufać komuś, kto zajmuje się kradzieżą danych.
Nowy szef ujawnia
Z włamywaczami nie chciał dogadywać się polski Puls Bank. Haker żądał 200 tys. zł okupu, przez co wstrzymałby się z publikacją wykradzionych informacji na temat klientów - w tym numerów PESEL, dowodów i danych kart płatniczych. Warunki nie zostały spełnione i paczki ze szczegółami dotyczącymi kilkuset klientów wylądowały w internecie.
Ukrywanie wpadek związanych z bezpieczeństwem w najwięszych koncernach jest normą. O gigantycznym wycieku danych z Yahoo w 2013 roku, gdy informacje na temat miliarda kont trafiły w ręce przestępców, poinformowano po prawie czterech latach.
W 2012 roku Dropbox dopiero po dwóch tygodniach od wycieku danych zalecił zmianę haseł, choć o włamaniu wprost nie informował. Skalę incydentu ujawniono dopiero po czterech latach. Na jaw wyszło, że baza ponad 68 milionów loginów i skrótów haseł użytkowników trafiła do sieci.
GDPR/RODO zmieni wszystko
Dzięki wchodzącemu w życie dokładnie za pół roku unijnemu Rozporządzeniu o Ochronie Danych Osobowych (ang. General Data Protection Regulations, GDPR) powinno się to zmienić z korzyścią dla klientów. To będzie prawdziwa rewolucja. Od maja 2018 roku firmy w ciągu 72 godzin będą miały obowiązek zgłoszenia każdego incydentu władzom, opinii publicznej i klientom, którzy mogli ucierpieć na skutek ataku. Jeśli przedsiębiorca tego nie zrobi, zapłaci gigantyczną karę - od 10 mln do 20 mln euro lub od 2 do 4 proc. rocznego obrotu - w zależności, która z sankcji będzie bardziej dotkliwa.
Straty za naruszenie bezpieczeństwa danych nie przekraczały do tej pory sum sześciocyfrowych. Jak wynika z badania przeprowadzonego przez IDC we współpracy z firmą ESET, 35 proc. organizacji, które doświadczyły w ciągu ostatnich dwóch lat naruszenia danych, odnotowało straty między 25 tys. a 250 tys. euro, a większość (32 proc.) poniosła straty w wysokości od 10 tys. do 25 tys euro.
Na razie jednak nie wszyscy zdają sobie sprawy z ewentualnych konsekwencji. Aż jedna czwarta z 700 przebadanych europejskich firm przyznała, że nie jest świadoma wdrożenia rozporządzenia RODO. Wśród tych firm, które są świadome nadchodzących zmian wprowadzanych przez rozporządzenia, co piąta firma nie zaczęła przygotowywać się wdrożenia regulacji - poinformował ESET.
Z ankiety opublikowanej w lutym 2017 roku wynika, że zaledwie co piąty bank i ubezpieczyciel jest przekonany, że potrafi wykryć cyberprzestępstwo. I może właśnie dlatego incydentów nie brakuje. Z banków i serwisów co rusz wyciekają nasze dane. Dla właścicieli stron i na czarnym rynku wbrew pozorom są warte niewiele.
3 zł za dane jednego klienta
We wrześniu w darknecie pojawiło się ogłoszenie o sprzedaży danych ponad 3500 klientów polskich banków: Credit Agricole, Idea Banku, ING Banku Śląskiego i mBanku. Chodziło o pełne dane teleadresowe, adresy e-mail, numery rachunków oraz ich salda. Jeden rekord haker wycenił na 3 zł.
Gdy w 2012 roku wyciekły dane klientów Orange, włamywacz chciał sprzedać za takie dane jak imiona i nazwiska, numery telefonów, PESEL, NIP i dokumentów tożsamości oraz adresy tradycyjne i e-mail tylko… 40 groszy od sztuki.
Przykładów jest więcej. Baza składająca się z haseł do 272,3 mln kont e-mail, w tym 24 mln do Gmaila została wyceniona na około 3 zł za hasło do jednego konta.
RODO sprawi, że nasze poufne dane będzie trudniej pozyskać. Firmy, chcąc uniknąć drakońskich kar, wreszcie lepiej przygotują się na ewentualne ataki cyberprzestępców. I w końcu nie będą zamiatać problemów pod dywan, tylko będą musiały postawić na pełną transparentność. Jedno jest pewne - klientom w końcu spadną klapki z oczu i przekonają się, że korzystając z usług firm w sieci wcale nie są tak bezpieczni, jak im się wydaje. Niektórzy eksperci są zdania, że dla wielu to będzie prawdziwy szok.