İnternet üzerinden taksi hizmeti veren Uber, iki bilgisayar korsanının 2016 yılında 50 milyon müşterisine ve 7 milyon şoförüne ait kimlik bilgilerini çalmasını gizlediğini doğruladı.
Haberi duyuran Bloomberg ajansı, Uber’in verilerin silinmesi için bilgisayar korsanlarına 100 bin dolar ödediğini öne sürdü. Bu iddia ise Uber tarafından doğrulanmadı.
Ele geçirildiği kabul edilen ve silindiği söylenen veriler arasında milyonlarca kişinin adları ve soyadları ile e-mail adresleri ve cep telefonu numaraları bulunuyor.
Uber Yönetim Kurulu Başkanı Dara Khosrowshahi, ele geçirilen bilgiler arasında banka hesap bilgileri ve sosyal güvenlik numaralarının olmadığını söyledi.
Ağustos ayında göreve gelen Khosrowshahi, olayın sorumlularının işlerine son verildiğini açıkladı.
Uber’in eski yönetim kurulu başkanı Travis Kalanick’in de geçen yıl siber saldırıdan haberdar olduğu ortaya çıktı. Şirket, siber saldırıdan etkilenen şoförlerine bedava kredi izleme hizmeti verildiğini ve müşterilerinin de aynı hizmetten yararlanabileceklerini duyurdu, internet sitesinde bir açıklama yayımladı.
“Bunların hiçbiri yaşanmamalıydı”
Uber Yönetim Kurulu Başkanı Dara Khosrowshahi ise yaptığı açıklamada, “Bunların hiçbiri yaşanmamalıydı. Herhangi bir bahane üretmeyeceğim. Geçmişi silemem ancak her Uber çalışanı adına hatalarımızdan ders alacağımız taahhüdünde bulunabilirim” dedi.
Khosrowshahi şu ana kadar çalınan kimlik bilgileri ile sahtekarlık yapıldığı ya da bu bilgilerin kötüye kullanıldığı ile ilgili olarak herhangi bir kanıta rastalamadıklarını ancak siber saldırıdan etkilenen tüm hesapları denetleyip daha sıkı koruduklarını söyledi.
Uber’in en üst düzey güvenlik yetkilisi Joe Sullivan ise son gelişmeler sonrası şirketten ayrıldı.ABD’de şirketler, önemli miktarda verinin ele geçirilmesiyle sonuçlanan siber saldırıları denetleyici kurumlara bildirmekle yükümlü.
Uber, 2014 yılında da çok daha küçük çaplı bir siber saldırıyı ilgili kurumlara bildirmediği için 20 bin dolar para cezasına çarptırılmıştı.
“Uber bunu hemen duyurmalıydı”
Konuyla ilgili, güvenlik şirketi Atar Labs CEO’su Burak Dayıoğlu şu açıklamayı yaptı: “Uber’in sızmaya ilişkin durumu gizlemesi en sık gördüğümüz yanlışlardan birisi; Amerika’da pek çok eyalette böylesi bir durumu duyurmak yasal zorunluluk haline dahi gelmişti. Dolayısıyla suç işlemiş olabileceklerini düşünüyorum. Hacker’la pazarlık yapmanın makul bir tarafı da yok çünkü çalınan dijital veri her ne olursa olsun sonsuz kopyası olması mümkün; pazarlıkla veriyi geri alma vb. seçenekleriniz pratikte yok. Halen bu tür durumlarda en etkili yöntem sızmayı kabul edip bunu halka duyurmak ve müşterileriniz ile birlikte toplamda en az etkileneceğiniz hale gelmek için yollar aramaktır.”

“Basit bir yöntemle yapılması üzücü”
Güvenlik entegratörü Innovera’nın Genel Müdürü Gökhan Say ise tarihin en büyük kimlik hırsızlıklarından biri olmasa da Uber’in bu saldırıyı gizlemek için hackerlara ödediği 100.000 doların akıllarda kalacağını söyledi. Ayrıca Amerika’daki birçok eyaletteki kanunlar paralelinde Uber’in saldırıyı açıklamamış olmaktan dolayı ciddi yasal sıkıntı yasayacağını tahmin ettiğini söyleyen Say sözlerine şöyle devam etti:
“İşin en üzücü taraflarından biri de bu kadar büyük bir kimlik hırsızlığının sofistike saldırı sınıfına sokmayacağımız bir hacking tekniğiyle yapılabilecek kadar basit bir yazılım kodu hatayla gerçekleşmiş olması. Sanırım bir kere daha uygulama kodunun güvenli yazılması konusuna kurumların vermesi gereken önemi ortaya koyuyor bu saldırı. Uber kullanıcılarının bu saldırıdan etkilenmiş olma ihtimalini göz önünde bulundurarak şifrelerini değiştirmelerinde fayda görüyorum.

















