Smarttelefoner er sentrum for mange av våre liv - og det med god grunn. Flere studier har foreslått at smarttelefoner i seg selv er en forlengelse av et menneske på dette tidspunktet, og det er derfor personvernbrudd er så alvorlige. Hvis du tenker på det, er det fornuftig. Vi sender meldinger til kjære, planlegger dagene våre og samhandler med den virkelige verden ved å bruke smarttelefonene våre som det primære mediet. Det er en ganske stor grunn til at Ubers sikkerhetsbrudd er en så stor sak.
Hvis du noen gang har brukt en turtjeneste som Uber, kan du gå tilbake og tenke på hva slags data du har lagt inn i appen. Du har definitivt skrevet inn adresser, og du kan til og med ha skrevet inn hjemmeadressen din mer enn én gang. Hvordan betalte du? Med kredittkortet ditt? Og du måtte tydeligvis koble til telefonnummeret og e-posten også, ikke sant? Hva med ditt fulle navn? Hvis noen individuell informasjon ble delt på nettet, ville du sannsynligvis ha det bra. Men alt dette, på ett sted, på samme tid? Det er dårlig og er en oppskrift på identitetstyveri, kredittkortsvindel eller i verste fall virkelige konsekvenser som forfølgelse eller overfall. I 2017 ble det amerikanske kredittbyrået Equifax hacket og tilbød berørte brukere oppgjørsmidler og gratis kredittovervåking for livet. Opptil 147,9 millioner amerikanere var i fare for å få identiteten deres stjålet, ettersom informasjon som SSN-er, fulle navn, fødselsdatoer og mer ble tatt i bruddet.
Det kan være konsekvenser fra den virkelige verden som forfølgelse eller overfall
Foreløpig er omfanget av Uber-sikkerhetsbruddet ikke bekreftet. Rapporter tyder på at hackeren fikk tilgang til stort sett alle vertikaler i selskapet, inkludert økonomiske data, app-kildekode og databaser som inneholder brukerinformasjon. De skal i hovedsak ha hentet nøklene til slottet, og en rapport fra New York Timesutgir seg for å ha intervjuet hackeren. Kickeren? Ifølge intervjuet er hackeren bare 18 år gammel. Det er åpenbart en verden hvor de kan lyve om alderen deres (og annen informasjon i det intervju også), men det har vært mange unge mennesker involvert i masseangrep som disse i fortiden.
Dataene vi deler definerer oss
Hvis noen skulle stjele smarttelefonen din og få tilgang til den, kan de sannsynligvis finne ut alt om deg. De ville oppdage interessene dine, vanene dine, hvor du bor og mer, men det er ikke alt. De kunne finne ut all slags personlig informasjon, de kunne oppdage helsejournalene dine og de kunne sannsynligvis forfølge deg basert på posisjonshistorikken din og dine besøkte steder hvis de ville til. Hvis du har et kjæledyr, står antagelig kjæledyrets navn et sted på telefonen din også. En av tre amerikanere, ifølge forskningsanalytiker Aura, har brukt kjæledyrets navn som passord. Hvis du er en av tre, kan den personen som stjal telefonen din nå få tilgang til nettkontoene dine også.
Vi setter mye tillit til selskaper med dataene våre. Noen sikkerhetsbrudd kan ødelegge liv hvis dataene faller i feil hender, og hvis jeg hadde en Uber-konto som jeg hadde brukt mer enn én gang, ville jeg vært bekymret for hvilken informasjon som nå kan være der ute på internett. Det er ingen å si hva som ble stjålet, siden skattekister av data som dette kan selges for mye penger på undergrunnsmarkedet. Selv om smarttelefonen din er sikker med et passord, legger du inn en mye tillit til telefonens sikkerhetssystemer. Først nylig ble en sårbarhet i Titan M-sikkerhetsbrikken (funnet i Google Pixel-telefoner) fast i en Oppdatering av Android-sikkerhetsoppdatering, og det tillot eskalering av privilegier med "brukerinteraksjon ikke nødvendig for utnyttelse". Forskere var da i stand til å trekke ut kryptografiske nøkler som aldri skal forlate enheten.
Ubers brudd bør være en oppfordring til å revurdere selskapene du stoler på
Med andre ord bør Ubers brudd være en oppfordring til å revurdere selskapene du stoler på, og med hvilke data. Selv om vi ikke helt vet omfanget av dette bruddet ennå, var det bare et tidsspørsmål før et selskap hadde et brudd på denne potensielle skalaen. Mens selskaper forventes å følge beste praksis for lagring av brukerdata (inkludert hashing og salting av brukere passord, kredittkort og mer), setter du mye tillit til at selskaper har fulgt de beste praksis. Selv om et selskap hevder å ha kryptert disse passordene, betyr det ikke at du er trygg for alltid hvis dataene lekker.
Som et eksempel, ta Riot Games' League of Legends. I 2012 ble selskapet hacket, med ulike personlig identifiserende attributter og "krypterte" passord som ble lekket på nettet. I 2018 lekket en undergruppe av disse dataene på nettet med ren tekstpassord sannsynligvis sprakk fra de "krypterte" passordene seks år tidligere. Ti år er lang tid og sikkerhetsstandarder har utviklet seg siden den gang, men poenget er at du aldri vet hva som skjer med dataene dine til enhver tid når de først er der ute.
Hvis du har en Uber-konto, er det definitivt verdt å følge med på nyhetene for å se hvilke data som eventuelt ble lekket. Selv om det skulle vise seg å være slik at ingenting ble delt på nettet, har selskapet fortsatt bekreftet bruddet, og det er alarmerende å tenke på hvilken tilgang noen kan ha til ditt personlige liv.