Uber вновь оказался в центре скандала: компания скрывала, что хакеры похитили данные 57 млн клиентов и водителей сервиса. Атака произошла осенью прошлого года, но известно о ней стало только сейчас. Более того, как сообщает агентство Bloomberg, руководители Uber пошли на сделку с киберпреступниками. Хакеры получили от компании около $100 тыс. за молчание и удаление украденных сведений. Кто виноват в утечке данных и как это отразится на имидже сервиса?
Замруководителя компании-резидента «Сколково» Group IB Сергей Никитин считает, что кибератака оказалась успешной из-за серьезных уязвимостей в системе: «У них есть определенные среды разработки самого проекта — именно программного обеспечения, в том числе серверной части, которая стоит в самой компании Uber. Под учетной записью одного из разработчиков они получили доступ к этой среде разработки, а в ней, естественно, крутится и база данных, которая используется Uber. Таким образом, ее можно было просто банально скачать. Наверное, доступ к этой среде разработки для обмена исходных кодов был недостаточно защищен. Утекли данные и клиентов, и водителей. Если у клиентов были известны почта и номера телефонов, что, наверное, достаточно просто найти и так, то у водителей — и номера удостоверений, и достаточно большое количество данных, и это может быть чувствительная информация».
Дара Хосровшахи, который возглавил Uber в конце августа, опубликовал официальное заявление по поводу утечки. По его словам, она связана с действиями двух экс-сотрудников, которые неправильно работали с данными пользователей в облачном хранилище. При этом новый глава Uber отметил, что сам задавался вопросом, почему информация об атаке так долго умалчивалась.
По данным Bloomberg, бывший исполнительный директор компании Трэвис Каланик узнал об инциденте спустя месяц, но не стал обнародовать эту информацию. В компании посчитали, что имиджевые потери могут оказаться слишком значительны, уверен руководитель Агентства кибербезопасности Евгений Лифшиц: «Это не выбивается из общепринятой практики, о подобных инцидентах мы даже не узнаем — зачастую это касается, в первую очередь, финансовых учреждений, когда это может нанести сильный репутационный вред: им проще замолчать такую историю. Что касается банков и финансовых учреждений, компаний, где много аккаунтов, это довольно частая практика, когда идут на некие сделки со злоумышленниками, с хакерами, чтобы не нести репутационные потери, потому что они могут быть гораздо больше, чем требуемые выплаты».
В последние месяцы компания Uber переживала серьезный корпоративный кризис — череда громких скандалов даже привела к смене руководства сервиса.
В феврале этого года бывшая сотрудница Uber Сьюзан Фаулер в своем блоге рассказала о сексизме и домогательствах, с которыми она и другие женщины столкнулась в компании. Вскоре в The New York Times появилась статья об агрессивной корпоративной культуре Uber — повсеместных унижениях, гомофобии и травле на рабочем месте. Спустя еще несколько дней в сети появилось скандальное видео с участием главы компании Трэвиса Каланика: на нем он грубит одному из таксистов, который пожаловался на ценовую политику сервиса.
Руководство Uber инициировало проверку, по итогам которой около 20 сотрудников были уволены, еще более 30 — направлены на переподготовку и психологические консультации. Несколько топ-менеджеров на фоне кризиса покинули свои посты, а сам Каланик в июне подал в отставку — сообщалось, что этого потребовали пять основных инвесторов Uber.
Информация об утечке данных, которую больше года скрывала компания Uber, может привести к серьезным последствиям, отмечают эксперты. Сервис работает по всему миру, и во многих странах власти требуют обязательно сообщать регуляторам о любых хакерских атаках.