Представители Uber выпустили официальное заявление, согласно которому компанию взломали еще в октябре 2016 года. Как оказалось, тогда в руки злоумышленников попали данные 50 млн пассажиров и 7 млн водителей со всего мира. На сторону «утекли» имена, email-адреса, номера мобильных телефонов, а также номера водительских удостоверений (сообщается, что взломщики успели скачать информацию о 600 000 американских водителях). Представители Uber подчеркивают, что инцидент не затронул даты рождения, номера банковских карт и счетов, номера социального страхования, а так же маршруты поездок.
В отдельном послании, написанном CEO сервиса, Дара Хосровшахи (Dara Khosrowshahi), сообщается, что взлому подвергся сторонний облачный сервис, с которым работает Uber, и компрометацию осуществили два неназванных злоумышленника. Хосровшахи пишет, что внутренние системы и инфраструктура самого Uber не пострадали.
Журналисты издания Bloomberg, первым сообщившие о происходящем, приводят чуть больше подробностей. По данным издания, атакующие проникли в приватный репозиторий GitHub, которым пользовались инженеры Uber, где обнаружили учетные данные от аккаунта Amazon Web Services. В облаке злоумышленники и нашли множество конфиденциальных данных пассажиров и водителей сервиса.
Также, по данным Bloomberg, после взлома преступники потребовали от Uber выкуп, и компания попыталась купить молчание злоумышленников, выплатив им $100 000. По информации издания The New York Times, Uber удалось установить личности злоумышленников, но их заставили подписать соглашение о неразглашении информации, а выкуп был замаскирован под вознаграждение по программе bug bounty.
«Вы можете спросить, почему мы заговорили о случившемся только сейчас, год спустя. У меня возник тот же вопрос, поэтому я немедленно распорядился провести расследование инцидента и нашей реакции на него», — пишет Хосровшахи в официальном блоге, и объясняет, что он сам узнал о случившемся только на этой неделе.
Согласно сообщению Хосровшахи, Uber уже уволил двух сотрудников, отвечавших за безопасность. По данным Bloomberg, один из лишившихся должности специалистов — это руководитель службы безопасности компании, Джо Салливан (Joe Sullivan).
«Все это не должно было произойти, и я не стану искать оправдания случившемуся. Хотя я не могу стереть прошлое, от лица всех сотрудников Uber я могу заверить, что мы учимся на своих ошибках. Мы меняем наши подходы к ведению бизнеса, в сердце каждого принятого нами решения лежит верность принципам, и мы усердно работаем над тем, чтобы заслужить доверие наших клиентов», — резюмирует Хосровшахи.