Uber nie mówi całej prawdy

Kiedy w październiku szef Ubera Dara Khosrowshahi przyznał się do utraty przez firmę danych klientów, chyba nie powiedział całej prawdy.

Pierwszym szokiem jest to, że sprawa włamu hakerów na serwery Ubera wypłynęła dopiero po roku od zdarzenia. Firma nie powiadomiła o fakcie ani policji, ani nawet osób poszkodowanych. W komunikacie Ubera sprzed dwóch miesięcy mowa o „nazwiskach, adresach e-mailowe i numerach telefonów użytkowników na całym świecie - 50 mln pasażerów i siedmiu milionów kierowców”. Jednocześnie utrzymują, że najwrażliwsze dane, jak numery kart kredytowych czy rachunków bankowych nie wpadły w ręce hakerów. Podanie dostępu do karty kredytowej jest nieodzownym elementem rejestracji w aplikacji, gdyż umożliwia bezgotówkowe rozliczenie przejazdu.

Tymczasem polscy klienci Ubera zanotowali na swoich kontach bankowych nieuprawnione aktywności i zaczęli się tą wiedzą dzielić w internecie.

Pan X zauważył, że ktoś próbował zrobić przelew z jego konta powiązanego z Uberem. Dostał SMS z banku o zablokowaniu środków na koncie. Analiza transakcji wskazywała na próbę kradzieży poprzez aplikację Ubera. Natychmiast skontaktował się z bankiem, zablokował kartę kredytową i powstrzymał tym samym transakcję. Jednocześnie ktoś podmienił dane do logowania do aplikacji, a w skrzynce pocztowej pojawiło się zapytanie o nowy dostęp.

Pani Y logując się do bankowości internetowej zobaczyła blokadę środków wysokości 4 tysięcy złotych na karcie kredytowej. Miała być to płatność karta online za zakupy w sklepie internetowym Zalando. Ponieważ takiego zakupu nie robiła, skontaktowała się z bankiem i zastrzegła kartę kredytową. To uratowało ją przed kradzieżą dość znacznej sumy. Karta była powiązana z aplikacją Ubera i regularnie używana w tym celu. Pozostałe transakcje online dokonywane przy jej użyciu były zawsze potwierdzane SMS-kodem. Tym razem blokada środków nie wiązała się z potwierdzeniem kodem – zupełnie jak w przypadku płatności za przejazd Uberem.

Uber nie ukrywa, że dostęp do bazy danych na ich serwerach okazał się dla hakerów prosty z powodu słabych zabezpieczeń systemu. Z firmy wyleciał odpowiedzialny za bezpieczeństwo Joe Sullivan, a sam system jest już teraz lepiej chroniony. Dara Khosrowshahi utrzymuje, że skradzione dane nie zostały w żaden sposób wykorzystane niezgodnie z przeznaczeniem. Agencja Bloomberg podała, że firma zapłaciła hakerom 100 tys. dolarów za zniszczenie skradzionych danych.

Przypadki polskich użytkowników wskazują jednak na to, że albo hakerzy zakpili sobie z Ubera, albo komunikat firmy nie mówił całej prawdy. Pani Y zaprzestała korzystania z Ubera, nie zamierza powierzać firmie danych nowej karty kredytowej. Od kilku dni po Warszawie jeżdżą pojazdy z kasami fiskalnymi. Wraz z kasami pojawiła się możliwość płatności gotówką. Na razie jest ich niewiele i krążą tylko po stolicy, ale być może jest to rozwiązanie pozwalające uniknąć straty dużych pieniędzy przez klientów przewoźnika.