Пробивът в сигурността на Uber показва колко вярваме на компаниите с нашите данни

Смартфоните са центърът на голяма част от живота ни – и с добра причина. Няколко проучвания предполагат, че самите смартфони са разширение на човека в този момент и затова нарушенията на поверителността са толкова груби. Ако се замислите, има смисъл. Изпращаме съобщения на любимите хора, планираме дните си и взаимодействаме с реалния свят, използвайки нашите смартфони като основна медия. Това е една доста голяма причина, поради която пробивът в сигурността на Uber е толкова голяма работа.

Ако някога сте използвали услуга за организиране на превози като Uber, отстъпете назад и помислете какви данни сте въвели в приложението. Определено сте въвели адреси и може дори да сте въвели домашния си адрес повече от веднъж. Как плати? С кредитната си карта? И очевидно трябваше да свържете телефонния си номер и имейл също, нали? Какво ще кажете за пълното ви име? Ако някаква отделна информация беше споделена онлайн, вероятно ще се оправите. Но всичко това, на едно място, по едно и също време? Това е лошо и е рецепта за кражба на самоличност, измами с кредитни карти или в най-лошия случай разклонения в реалния свят като преследване или нападение. През 2017 г. американското кредитно бюро Equifax беше хакнато и предложи на засегнатите потребители средства за сетълмент и безплатен кредитен мониторинг за цял живот. До 147,9 милиона американци бяха изложени на риск самоличността им да бъде открадната, тъй като информация като SSN, пълни имена, рождени дати и много други бяха взети при пробива.

Може да има разклонения в реалния свят, като преследване или нападение

В момента обхватът на пробива в сигурността на Uber не е потвърден. Докладите предполагат, че хакерът е получил достъп до почти всеки вертикал в компанията, включително финансови данни, изходен код на приложения и бази данни, съдържащи потребителска информация. Твърди се, че по същество са извадили ключовете от замъка и доклад от Ню Йорк Таймствърди, че е интервюирал хакера. Ритникът? Според това интервю хакерът е само на 18 години. Очевидно има свят, в който те може да лъжат за възрастта си (и друга информация в това интервю също), но имаше много млади хора, замесени в масови атаки като тези в миналото.

Данните, които споделяме, ни определят

Ако някой открадне смартфона ви и получи достъп до него, вероятно може да разбере всичко за вас. Те биха открили вашите интереси, вашите навици, къде живеете и много други, но това не е всичко. Те биха могли да открият всякакъв вид лична информация, биха могли да открият вашите здравни досиета и те вероятно биха могли да ви преследват въз основа на вашата история на местоположенията и посещаваните от вас места, ако искат да се. Ако имате домашен любимец, вероятно името на вашия домашен любимец също е някъде в телефона ви. Един на всеки трима американци, според анализатор Аура, са използвали името на своя домашен любимец като парола. Ако вие сте един на всеки трима, този човек, който е откраднал телефона ви, вече може да има достъп и до вашите онлайн акаунти.

Имаме голямо доверие в компаниите с нашите данни. Някои пробиви в сигурността могат да съсипят живота, ако данните попаднат в грешни ръце и ако имам акаунт в Uber който съм използвал повече от веднъж, ще се притеснявам каква информация може да има сега в интернет. Не може да се каже какво е било откраднато, тъй като съкровища от такива данни могат да бъдат продадени за много пари на подземния пазар. Дори вашият смартфон да е защитен с парола, вие поставяте a много доверие в системите за сигурност на вашия телефон. Едва наскоро беше открита уязвимост в защитния чип Titan M (намерен в телефони Google Pixel) фиксирани в an Актуализация на корекцията за сигурност на Android, и позволяваше ескалация на привилегия с „взаимодействие с потребителя, което не е необходимо за експлоатация“. Тогава изследователите бяха способен да извлича криптографски ключове които никога не трябва да напускат устройството.

Пробивът на Uber трябва да бъде призив за преоценка на компаниите, на които имате доверие

С други думи, нарушението на Uber трябва да бъде призив за преоценка на компаниите, на които имате доверие и с какви данни. Въпреки че все още не знаем напълно обхвата на това нарушение, беше само въпрос на време компания да има нарушение от такъв потенциален мащаб. Докато от компаниите се очаква да следват най-добрите практики при съхраняване на потребителски данни (включително хеширане и солиране на потребителски пароли, кредитни карти и други), имате голямо доверие в компаниите, че са ги следвали най-добре практики. Дори ако дадена компания твърди, че е шифровала тези пароли, това не означава, че сте в безопасност завинаги, ако тези данни изтекат.

Като пример вземете Riot Games Лигата на легендите. През 2012 г. компанията беше хакната, като различни лични идентифициращи атрибути и „криптирани“ пароли бяха изтекли онлайн. През 2018 г. част от тези данни изтекоха онлайн с пароли с обикновен текст, вероятно разбити от тези „криптирани“ пароли преди шест години. Десет години са много време и стандартите за сигурност са се развили оттогава, но въпросът е, че никога не знаете какво се случва с вашите данни във всеки един момент, след като са там.

Ако имате акаунт в Uber, определено си струва да следите новините, за да видите какви данни са изтекли, ако има такива. Дори и да се окаже, че нищо не е споделено онлайн, компанията все още е потвърдила пробива и е тревожно да си помислим какъв достъп може да има някой до личния ви живот.