Smartphones er centrum for mange af vores liv - og det med god grund. Flere undersøgelser har foreslået, at smartphones i sig selv er en forlængelse af et menneske på dette tidspunkt, og det er derfor, krænkelser af privatlivets fred er så alvorlige. Hvis du tænker over det, giver det mening. Vi sender besked til kære, planlægger vores dage og interagerer med den virkelige verden ved at bruge vores smartphones som det primære medium. Det er en ret stor grund til, at Uber-sikkerhedsbruddet er så stort.
Hvis du nogensinde har brugt en ride-hailing-tjeneste som Uber, skal du gå tilbage og tænke over, hvilken slags data du har indtastet i appen. Du har helt sikkert indtastet adresser, og du har måske endda indtastet din hjemmeadresse mere end én gang. Hvordan betalte du? Med dit kreditkort? Og du skulle selvfølgelig også linke dit telefonnummer og din e-mail, ikke? Hvad med dit fulde navn? Hvis nogen individuel information blev delt online, ville du sandsynligvis være i orden. Men alt det på ét sted på samme tid? Det er dårligt og er en opskrift på identitetstyveri, kreditkortsvindel eller i værste fald konsekvenser fra den virkelige verden som stalking eller overfald. I 2017 blev det amerikanske kreditbureau Equifax hacket og tilbød berørte brugere afviklingsmidler og gratis kreditovervågning for livet. Op til 147,9 millioner amerikanere var i fare for at få deres identitet stjålet, da oplysninger som SSN'er, fulde navne, fødselsdatoer og mere blev taget i brud.
Der kan være konsekvenser fra den virkelige verden, såsom stalking eller overfald
I øjeblikket er omfanget af Ubers sikkerhedsbrud ikke blevet bekræftet. Rapporter tyder på, at hackeren fik adgang til stort set alle vertikaler i virksomheden, inklusive økonomiske data, app-kildekode og databaser, der indeholder brugeroplysninger. De siges i det væsentlige at have hentet nøglerne til slottet, og en rapport fra New York Timesforegiver at have interviewet hackeren. Kickeren? Ifølge det interview er hackeren kun 18 år gammel. Der er åbenbart en verden, hvor de kan lyve om deres alder (og andre oplysninger i det interview også), men der har været masser af unge mennesker involveret i masseangreb som disse i fortiden.
De data, vi deler, definerer os
Hvis nogen skulle stjæle din smartphone og få adgang til den, kunne de sikkert finde ud af alt om dig. De ville opdage dine interesser, dine vaner, hvor du bor og mere, men det er ikke alt. De kunne finde ud af alle slags personlige oplysninger, de kunne opdage dine sundhedsjournaler og de kunne sikkert forfølge dig baseret på din placeringshistorik og dine besøgte steder, hvis de ville til. Hvis du har et kæledyr, er dit kæledyrs navn formodentlig også et sted på din telefon. En ud af tre amerikanere ifølge forskningsanalytiker Aura, har brugt deres kæledyrs navn som adgangskode. Hvis du er den ene ud af tre, kan den person, der stjal din telefon, muligvis også få adgang til dine onlinekonti.
Vi sætter stor tillid til virksomheder med vores data. Nogle sikkerhedsbrud kan ødelægge liv, hvis dataene falder i de forkerte hænder, og hvis jeg havde en Uber-konto som jeg havde brugt mere end én gang, ville jeg være bekymret for, hvilke oplysninger der nu kan være derude på internettet. Der er ingen at sige, hvad der blev stjålet, da skattekister af data som den kan sælges for mange penge på undergrundsmarkedet. Selvom din smartphone er sikker med en adgangskode, sætter du en masse af tillid til din telefons sikkerhedssystemer. Først for nylig var der en sårbarhed i Titan M sikkerhedschippen (fundet i Google Pixel-telefoner) fast i en Opdatering af Android-sikkerhedspatch, og det tillod eskalering af privilegier med "brugerinteraktion er ikke nødvendig for udnyttelse". Forskere var dengang i stand til at udtrække kryptografiske nøgler som aldrig må forlade enheden.
Ubers brud bør være en opfordring til at revurdere de virksomheder, du har tillid til
Med andre ord bør Ubers brud være en opfordring til at revurdere de virksomheder, du har tillid til, og med hvilke data. Selvom vi ikke helt kender omfanget af dette brud endnu, var det kun et spørgsmål om tid, før en virksomhed havde et brud på denne potentielle skala. Mens virksomheder forventes at følge bedste praksis med hensyn til lagring af brugerdata (herunder hashing og saltning af brugere adgangskoder, kreditkort og mere), stoler du meget på, at virksomheder har fulgt de bedste praksis. Selvom en virksomhed hævder at have krypteret disse adgangskoder, betyder det ikke, at du er sikker for evigt, hvis disse data lækker.
Tag som eksempel Riot Games' Liga af legender. I 2012 blev virksomheden hacket, hvor forskellige personligt identificerende attributter og "krypterede" adgangskoder blev lækket online. I 2018 blev en delmængde af disse data lækket online med almindelig tekst-adgangskoder, der sandsynligvis blev knækket fra disse "krypterede" adgangskoder seks år tidligere. Ti år er lang tid, og sikkerhedsstandarder har udviklet sig siden da, men pointen er, at du aldrig ved, hvad der sker med dine data på et givet tidspunkt, når de først er derude.
Hvis du har en Uber-konto, er det bestemt værd at holde øje med nyhederne for at se, hvilke data der eventuelt blev lækket. Selvom det viser sig at være tilfældet, at intet blev delt online, har virksomheden stadig bekræftet bruddet, og det er alarmerende at tænke på, hvilken adgang nogen kan have til dit personlige liv.