Smartphones är centrum för många av våra liv - och med goda skäl. Flera studier har föreslagit att smartphones i sig är en förlängning av en människa vid det här laget, och det är därför integritetskränkningar är så allvarliga. Om du tänker efter så är det vettigt. Vi skickar meddelanden till nära och kära, planerar våra dagar och interagerar med den verkliga världen med våra smartphones som det primära mediet. Det är en ganska stor anledning till att Ubers säkerhetsintrång är en så stor sak.
Om du någonsin har använt en turtjänst som Uber, ta ett steg tillbaka och fundera över vilken typ av data du har angett i appen. Du har definitivt angett adresser, och du kanske till och med har angett din hemadress mer än en gång. Hur betalade du? Med ditt kreditkort? Och du var uppenbarligen tvungen att länka ditt telefonnummer och e-post också, eller hur? Vad sägs om ditt fullständiga namn? Om någon enskild information delades online skulle du förmodligen klara dig. Men allt detta, på ett ställe, samtidigt? Det är dåligt och är ett recept på identitetsstöld, kreditkortsbedrägerier, eller i värsta fall verkliga konsekvenser som förföljelse eller misshandel. Under 2017 hackades den amerikanska kreditbyrån Equifax och erbjöd drabbade användare avvecklingsmedel och gratis kreditövervakning livet ut. Upp till 147,9 miljoner amerikaner riskerade att få sina identiteter stulen, eftersom information som SSN, fullständiga namn, födelsedatum och mer togs i intrånget.
Det kan vara verkliga konsekvenser som förföljelse eller misshandel
För närvarande har omfattningen av Uber-säkerhetsintrånget inte bekräftats. Rapporter tyder på att hackaren fick tillgång till i stort sett alla vertikaler inom företaget, inklusive finansiella data, app-källkod och databaser som innehåller användarinformation. De sägs i huvudsak ha hämtat nycklarna till slottet, och en rapport från The New York Timesutger sig för att ha intervjuat hackaren. Kickaren? Enligt den intervjun är hackaren bara 18 år gammal. Det finns uppenbarligen en värld där de kan ljuga om sin ålder (och annan information i det intervju också) men det har varit många unga människor inblandade i massskaliga attacker som dessa i det förflutna.
Datan vi delar definierar oss
Om någon skulle stjäla din smartphone och få tillgång till den kan de förmodligen få reda på allt om dig. De skulle upptäcka dina intressen, dina vanor, var du bor och mer, men det är inte allt. De kunde ta reda på alla typer av personlig information, de kunde upptäcka dina hälsojournaler och de skulle förmodligen kunna förfölja dig baserat på din platshistorik och dina besökta platser om de ville till. Om du har ett husdjur står förmodligen ditt husdjurs namn någonstans på din telefon också. En av tre amerikaner, enligt forskningsanalytiker Aura, har använt sitt husdjurs namn som lösenord. Om du är en av tre kanske den personen som stal din telefon nu också kan komma åt dina onlinekonton.
Vi sätter stort förtroende till företag med vår data. Vissa säkerhetsintrång kan förstöra liv om data hamnar i fel händer och om jag hade ett Uber-konto som jag hade använt mer än en gång, skulle jag vara orolig för vilken information som nu kan finnas ute på internet. Det går inte att säga vad som stulits, eftersom sådana skattkammare av data kan säljas för mycket pengar på den underjordiska marknaden. Även om din smartphone är säker med ett lösenord, sätter du en massa förtroende för din telefons säkerhetssystem. Först nyligen fanns en sårbarhet i Titan M säkerhetschip (hittades i Google Pixel-telefoner) fast i en Uppdatering av Android-säkerhetspatch, och det möjliggjorde eskalering av privilegier med "användarinteraktion behövs inte för utnyttjande". Forskare var då kunna extrahera kryptografiska nycklar som aldrig får lämna enheten.
Ubers intrång bör vara en uppmaning att omvärdera de företag som du litar på
Med andra ord bör Ubers intrång vara en uppmaning att omvärdera de företag som du litar på, och med vilken data. Även om vi inte helt vet omfattningen av det intrånget ännu, var det bara en tidsfråga innan ett företag hade ett brott av denna potentiella skala. Medan företag förväntas följa bästa praxis när det gäller att lagra användardata (inklusive hashing och saltning användare lösenord, kreditkort och mer), litar du mycket på att företag har följt de bästa praxis. Även om ett företag påstår sig ha krypterat dessa lösenord, betyder det inte att du är säker för alltid om den informationen läcker.
Som ett exempel, ta Riot Games' League of Legends. 2012 hackades företaget, med olika personligt identifierande attribut och "krypterade" lösenord som läckte ut på nätet. Under 2018 läckte en delmängd av dessa uppgifter online med vanliga lösenord som sannolikt knäcktes från de "krypterade" lösenorden sex år tidigare. Tio år är en lång tid och säkerhetsstandarder har utvecklats sedan dess, men poängen är att du aldrig vet vad som händer med din data vid en given tidpunkt när den väl finns där ute.
Om du har ett Uber-konto är det definitivt värt att hålla ett öga på nyheterna för att se vilken data som läckt ut, om någon. Även om det skulle visa sig vara så att ingenting delades online så har företaget fortfarande bekräftat intrånget och det är alarmerande att tänka på vilken tillgång någon kan ha till ditt privatliv.