Naruszenie bezpieczeństwa Ubera pokazuje, jak bardzo powierzamy firmom nasze dane

Smartfony są w centrum wielu naszych życia – i nie bez powodu. Z kilku badań wynika, że ​​w tym momencie smartfony same w sobie są przedłużeniem człowieka i dlatego naruszenia prywatności są tak rażące. Jeśli się nad tym zastanowić, ma to sens. Wysyłamy wiadomości do bliskich, planujemy dni i wchodzimy w interakcję z realnym światem, używając smartfonów jako głównego medium. To jeden z głównych powodów, dla których naruszenie bezpieczeństwa Ubera jest tak poważną sprawą.

Jeśli kiedykolwiek korzystałeś z usługi transportu pasażerów, takiej jak Uber, cofnij się i zastanów, jakie dane wprowadziłeś do aplikacji. Na pewno podałeś adresy, a być może nawet adres domowy podałeś więcej niż raz. Jak zapłaciłeś? Z kartą kredytową? Oczywiście musiałeś także połączyć swój numer telefonu i adres e-mail, prawda? A twoje pełne imię i nazwisko? Gdyby jakakolwiek pojedyncza informacja została udostępniona online, prawdopodobnie wszystko byłoby w porządku. Jednak to wszystko w jednym miejscu i w tym samym czasie? To coś złego i stanowi przepis na kradzież tożsamości, oszustwo związane z kartami kredytowymi lub, w najgorszym przypadku, konsekwencje w świecie rzeczywistym, takie jak prześladowanie lub napaść. W 2017 r. amerykańskie biuro informacji kredytowej Equifax zostało zhakowane i zaoferowało dotkniętym użytkownikom środki rozliczeniowe oraz bezpłatne monitorowanie kredytu przez całe życie. Aż 147,9 mln Amerykanów było zagrożonych kradzieżą tożsamości, ponieważ w wyniku włamania pobrano takie informacje, jak numery SSN, imiona i nazwiska, daty urodzenia i inne.

Mogą mieć konsekwencje w świecie rzeczywistym, takie jak prześladowanie lub napaść

Na chwilę obecną nie potwierdzono zakresu naruszenia bezpieczeństwa Ubera. Z raportów wynika, że ​​haker uzyskał dostęp do niemal każdego pionu firmy, w tym danych finansowych, kodu źródłowego aplikacji i baz danych zawierających informacje o użytkownikach. Mówi się, że zasadniczo odzyskali klucze do zamku i raport z New York Timesatwierdzi, że przeprowadził wywiad z hakerem. Kopacz? Z wywiadu wynika, że ​​haker ma zaledwie 18 lat. Oczywiście istnieje świat, w którym mogą kłamać na temat swojego wieku (i innych informacji na ten temat). wywiad), ale w ataki na masową skalę, takie jak ten, zaangażowanych było wielu młodych ludzi przeszłość.

Dane, które udostępniamy, nas definiują

Gdyby ktoś ukradł Twój smartfon i uzyskał do niego dostęp, prawdopodobnie dowiedziałby się o Tobie wszystkiego. Odkryliby Twoje zainteresowania, nawyki, miejsce zamieszkania i wiele więcej, ale to nie wszystko. Mogą znaleźć wszelkiego rodzaju dane osobowe, mogą odkryć twoją dokumentację medyczną i prawdopodobnie mogliby Cię prześladować na podstawie Twojej historii lokalizacji i odwiedzanych miejsc, gdyby chcieli Do. Jeśli masz zwierzaka, prawdopodobnie jego imię też jest gdzieś w Twoim telefonie. Według analityka badawczego co trzeci Amerykanin Aura, użyło imienia swojego zwierzaka jako hasła. Jeśli jesteś tą jedną trzecią, osoba, która ukradła Twój telefon, może teraz mieć również dostęp do Twoich kont online.

Pokładamy duże zaufanie w firmach dysponujących naszymi danymi. Niektóre naruszenia bezpieczeństwa mogą zrujnować życie, jeśli dane wpadną w niepowołane ręce i jeśli mam konto Uber z których korzystałem więcej niż raz, martwiłbym się tym, jakie informacje mogą teraz znajdować się w Internecie. Nie wiadomo, co zostało skradzione, ponieważ takie skarby danych można sprzedać na podziemnym rynku za duże pieniądze. Nawet jeśli Twój smartfon jest zabezpieczony hasłem, umieszczasz działka zaufania do systemów zabezpieczeń Twojego telefonu. Dopiero niedawno pojawiła się luka w chipie zabezpieczającym Titan M (znaleziona w Telefony Google Pixel) naprawiono w Aktualizacja poprawki zabezpieczeń Androidai umożliwiło eskalację uprawnień, przy czym „interakcja z użytkownikiem nie była konieczna do wykorzystania”. Naukowcy byli wtedy w stanie wyodrębnić klucze kryptograficzne które nigdy nie powinny opuszczać urządzenia.

Naruszenie zasad Ubera powinno być wezwaniem do ponownej oceny firm, którym ufasz

Innymi słowy, naruszenie Ubera powinno być wezwaniem do ponownej oceny firm, którym ufasz i jakimi danymi. Chociaż nie znamy jeszcze w pełni zakresu tego naruszenia, było tylko kwestią czasu, zanim w firmie dojdzie do naruszenia na tak potencjalną skalę. Chociaż oczekuje się, że firmy będą przestrzegać najlepszych praktyk w zakresie przechowywania danych użytkowników (w tym hashowania i solenia user hasła, karty kredytowe i inne), pokładasz duże zaufanie w firmach, które postępują zgodnie z najlepszymi praktyki. Nawet jeśli firma twierdzi, że zaszyfrowała te hasła, nie oznacza to, że w przypadku wycieku danych będziesz bezpieczny na zawsze.

Jako przykład weźmy grę Riot Games Liga Legend. W 2012 roku doszło do ataku hakerskiego na firmę, w wyniku którego do Internetu wyciekły różne atrybuty umożliwiające identyfikację i „szyfrowane” hasła. W 2018 r. część tych danych wyciekła do Internetu wraz z hasłami w postaci zwykłego tekstu, które prawdopodobnie zostały złamane na podstawie tych „zaszyfrowanych” haseł sześć lat wcześniej. Dziesięć lat to dużo czasu i od tego czasu standardy bezpieczeństwa ewoluowały, ale chodzi o to, że nigdy nie wiesz, co dzieje się z Twoimi danymi w dowolnym momencie, gdy już się tam znajdą.

Jeśli posiadasz konto Ubera, zdecydowanie warto śledzić aktualności, aby zobaczyć, jakie dane wyciekły, jeśli w ogóle. Nawet jeśli okaże się, że w Internecie nic nie zostało udostępnione, firma i tak potwierdziła naruszenie i niepokojąca jest myśl o tym, jaki dostęp ktoś może mieć do Twojego życia osobistego.