هک اطلاعات شرکت اوبر، درسهایی برای اینکه چه کاری نباید کرد!

محققان امنیتی می گویند که حملات سایبری به شرکت Uber و حک آن، و در ادامه تلاش برای سرپوش گذاشتن بر روی آن، درس هایی برای سازمان ها در مورد عدم واکنش نشان دادن به وجود رخنه و شکاف اطلاعات است.
شرکت Uber گفته است که سال قبل ۱۰۰،۰۰۰ دلار برای سرپوش گذاشتن بر روی وجود یک شکاف امنیتی در اطلاعات شرکت که موجب شد ۵۷ میلیون حساب کاربری در معرض خطر قرار بگیرد به هکرها پرداخت کرده است.

این اتفاق همچینن منجر به اخراج دو کارمند این شرکت آمریکایی شده است. اوبر گفت: علاوه بر نام ها، ایمیل ها و شماره تلفن های میلیون ها راننده این شرکت، تعداد ۶۰۰٫۰۰۰ شماره گواهینامه رانندگان نیز در دسترس قرار گرفت.

سخنگوی شرکت Uber استرالیا میگوید:” ما در حال اطلاع رسانی به مقامات مختلف نظارتی و دولتی هستیم و انتظار داریم که با آنها بحث و گفت و گو داشته باشیم. تا زمانی که ما این فرایند را تکمیل نکنیم در موقعیتی قرار نداریم که به جزئیات بیشتری بپردازیم.”
مایکل استانتون، مدیر امنیت اطلاعات شرکت امنیتی Zscaler در این زمینه میگوید: ” شرکت ها در سال ۲۰۱۷، بیشتر در مورد “چگونگی پاسخ به شکاف اطلاعات” نسبت به “خود شکاف” قضاوت شده اند. با این حال ما در این مورد درسهایی میگیریم که چطور به این موارد پاسخ ندهیم.”
او در ادامه میگوید: ” Uber بدون شک چندین قانون مربوط افشای اطلاعات، در ایالات متحده و در سطح بین المللی را با عدم اطلاع رسانی به رانندگان و کاربران که اطلاعات شخصی آنها به خطر افتاده است، نقض کرده است.”

نگرانی ها از هک شدن اوبر

” یک نگرانی اخلاقی نیز وجود دارد، اوبر شرکتی است که تا به حال چند بار سابقه تصمیمات قابل بحث و مشکوک داشته است، و این بار نیز تصمیم گرفت به جای تلاش برای حفظ اطلاعات شخصی کاربران و رانندگانش، زمان زیادی را صرف کند که بر روی این وجود این شکاف در اطلاعاتش سرپوش بگذارد. پرداخت پول به هکرها راه خوبی برای حفاظت از اطلاعات کاربران و رانندگان محسوب نمیشود.”
” خلافکاران می توانند داده ها را پس از دریافت پول نگه داشته و یا به فروش برساند. این نوع پاسخ حتی فراتر از عدم رعایت رفتار حرفه ای است و یک اهمال کاری بسیار بزرگ محسوب شده و بدون شک با عواقب قانونی همراه است.”
Itay Glick، مدیر اجرایی شرکت امنیت سایبری Votiro نیز موافق این صحبت است و میگوید:
” آنچه که در مورد این داستان ناامید کننده است این است که این نمونه ای از درهم شکستن یک شرکت با یک هک پیچیده نیست. بلکه گزارش ها حاکی از آن است که این موضوع فقط یک سرقت نسبتا ساده بوده است.”
” این به مراتب کمتر از آن چیزی است که شرکت ها در این مواقع باید انجام دهند، یعنی اطلاع رسانی به کاربرانشان در کوتاهترین زمان ممکن، و سپس ارائه بیمه اطلاعات شخصی قابل شناسایی برای یک سال.”
Amit Yoran ، مدیر عامل شرکت نرم افزاری Tenableنیز میگوید: “هک Uber فقط آخرین نمونه از یک فرهنگ رو به گسترش ضعف در دنیای سایبری و کمبود مسئولیت پذیری و پاسخگویی بود.”
” مدیران و سازمان ها باید برای محافظت از سیستم ها و اطلاعات آنها، و همچنین برای کشف و افشای نقض اطلاعات استانداردهای لازم را در نظر گرفته و در زمان مناسب پاسخگو باشند.”

با این حال، هیچ کس به اندازه مدیر عامل شرک اوبر یعنی آقای دارا خسروشاهی، که تنها چند ماه است که در مقام مدیر عاملی شرکت حضور دارد، از این موضوع متضرر نشد. آقای خسروشاهی نقش مدیر عاملی را بعد از مؤسس جنجالی آن، آقای Travis Kalanick که در اوایل امسال برکنار شد، به عهده گرفت. این هک در سال ۲۰۱۶ و زمانی اتفاق افتاد که آقای Kalnick مدیر عامل شرکت بود.
آقای خسروشاهی در اظهار نظری در این مورد گفت:” هیچ کدام از این موارد نباید اتفاق می افتاد، و من برای آن عذری نخواهم آورد.”
” در حالی که من نمی توانم گذشته را پاک کنم، می توانم از طرف هر کارمند Uber متعهد شوم که از اشتباهاتمان درس بگیریم. ما در حال تغییر نحوه کسب و کارمان هستیم، و در حال ایجاد یکپارچگی در مرکز تصمیمات و انجام امورمان هستیم و سخت تلاش می کنیم تا اعتماد مشتریانمان را به دست آوریم.”
Carlo Minassian، مدیر استارت آپ شرکت امنیتی LMNTRIX نیز گفت که اقدامات مدیر عامل جدید، امیدبخش و هماهنگ با رفتار مناسب یک شرکت مسئول است. او میگوید: ” پنهان سازی وجود نقص ها و شکافهای اطلاعاتی، زمانی که سازمانها یا شرکتها تشخیص میدهند به اندازه کافی برای حفظ اطلاعات مشتریانشان ایمنی ندارند، یک امر غریزی رایج در آنها است.”
” در واقع در این موقعیتها موضوع طبیعت انسانی و انتخابهای موجود به عنوان یک فرد، در تقابل با تصمیمات بسیار گسترده تر شرکتی مطرح میشود؛ در این مورد مدیر امنیت اطلاعات اوبر میدانست آخرین چیزی شرکت در آن زمان به آن نیاز داشت یک موضوع بحث برانگیز دیگر بود. بنابراین او سعی کرد کاری را انجام دهد که احساس میکرد بهترین گزینه برای این شرکت است و در نهایت هزینه آن را با از دست دادن شغلش پرداخت کرد.”