Industri keamanan informasi terguncang setelah Uber mengaku melakukan pelanggaran data besar-besaran yang mempengaruhi 57 juta pelanggan dan rider di seluruh dunia, yang disembunyikannya tahun lalu dengan membayar para hacker.
CEO Dara Khosrowshahi mengklaim bahwa insiden tersebut terjadi pada akhir 2016 ketika dua individu "mengakses data pengguna secara tidak tepat yang tersimpan pada layanan berbasis awan pihak ketiga yang kami gunakan."
Data yang dicuri termasuk nama, alamat email dan nomor ponsel 57 juta pengguna Uber di seluruh dunia, termasuk 600.000 pengemudi AS, yang memiliki nama dan nomor SIM mereka.
Dia mengatakan dalam sebuah pernyataan kemarin:
"Ahli forensik luar kami belum melihat adanya indikasi bahwa riwayat lokasi perjalanan, nomor kartu kredit, nomor rekening bank, nomor Jaminan Sosial atau tanggal lahir telah diunduh ..."
"Pada saat kejadian, kami segera mengambil langkah untuk mengamankan data dan menutup akses yang tidak sah oleh individu-individu Kami kemudian mengidentifikasi individu-individu tersebut dan mendapatkan jaminan bahwa data yang telah diunduh telah dihancurkan Kami juga menerapkan langkah-langkah keamanan untuk membatasi akses untuk dan memperkuat kontrol pada akun penyimpanan berbasis awan kami. "
Khosrowshahi telah mengambil tindakan tegas terkait upaya perusahaan kontroversial untuk menghentikan insiden tersebut tahun lalu, termasuk memecat petugas keamanan utamanya, Joe Sullivan, dan seorang wakil.
Dia saat ini bertanya kepada mantan penasihat umum NSA Matt Olsen, sekarang seorang konsultan, untuk membantu strategi keamanan Uber, dan telah memberi tahu dan memberi pengemudi yang terkena dampak pemantauan kredit gratis dan perlindungan ID. Tidak ada perlindungan semacam itu yang ditawarkan untuk pengendara, meskipun Uber mengatakan bahwa pihaknya memantau akun yang terkena dampak.
Serangan tersebut terjadi setelah dua hacker berhasil mengakses situs pengkodean GitHub pribadi yang digunakan oleh insinyur Uber, dan kemudian menggunakan log-in yang mereka temukan di sana untuk mengakses repositori Amazon Web Services yang menangani "tugas komputasi" untuk perusahaan, menurut Bloomberg. Dari sana, mereka berpaling ke data pelanggan / sopir yang sangat berharga.
Khosrowshahi menyimpulkan:
"Semua ini seharusnya tidak terjadi, dan saya tidak akan membuat alasan untuk itu. Sementara saya tidak dapat menghapus masa lalu, saya dapat melakukan atas nama setiap karyawan Uber bahwa kita akan belajar dari kesalahan kita. Kami mengubah cara kami menjalankan bisnis, menerapkan integritas pada inti setiap keputusan yang kami buat dan bekerja keras untuk mendapatkan kepercayaan dari pelanggan kami. "
Mengikuti wahyu tersebut, Jaksa Agung New York Eric Schneiderman telah meluncurkan sebuah penyelidikan dan gugatan class action dikatakan telah diajukan atas dugaan kelalaian tersebut.
Jeremiah Grossman, kepala strategi keamanan di SentinelOne, berpendapat bahwa GitHub adalah sumber utama risiko bagi perusahaan.
"Sulit, jika bukan tidak mungkin, bagi organisasi untuk mengunci vektor ini. Pengembang secara tidak sengaja, dan sering tanpa sadar, berbagi kepercayaan atas GitHub sepanjang waktu di mana mereka menjadi terbuka, "tambahnya. "Sementara kontrol keamanan tradisional tetap penting untuk keamanan organisasi, tidak ada gunanya jika individu yang memiliki akses terhadap informasi pribadi mengekspos kredensial akun mereka di tempat di mana mereka dapat diperoleh dan disalahgunakan oleh orang lain."
Yang lain berpendapat kejadian tersebut membuktikan mengapa sistem berbasis kata sandi tidak lagi sesuai untuk tujuan.
"Kesalahan serius pada bagian Uber adalah menyimpan kunci penyimpanan data di gudang kode GitHub yang bisa diakses oleh penyerang," kata insinyur senior keamanan Avecto, James Maude. "Ini adalah digital yang setara dengan menuliskan kata kunci di atas sedikit kertas. Begitu penyerang memiliki kunci ini, mereka bisa mengakses data dengan mudah. "
Jason Hart, CTO proteksi data di Gemalto, mengklaim dua hal seharusnya dilakukan dengan lebih baik oleh Uber: "pengungkapan lebih cepat dan penggunaan enkripsi yang lebih baik untuk keseluruhan siklus data".
"Keterlambatan pengungkapan mengikis kepercayaan, dan ini memustahilkan fakta bahwa pelanggaran seperti ini, bahwa mengakses data Anda melalui layanan awan, tidak dapat dihindari," tambahnya.
Ada juga tanda tanya seputar apakah para hacker telah menyimpan kata-kata mereka dan menghapus semua data yang dicuri, menurut direktur penelitian ancaman Webroot, David Kennerley
"Faktanya adalah sama sekali tidak ada jaminan bahwa para hacker tidak menciptakan banyak salinan data yang dicuri untuk pemerasan di masa depan atau untuk dijual lebih jauh lagi," bantahnya.
VP Riset Keamanan Trend Micro, Rik Ferguson setuju, menjelaskan bahwa "pencurian digital tidak bekerja dengan cara yang sama seperti di dunia fisik, Anda tidak akan pernah bisa 'mengembalikan kembali barang-barang negatif' begitu data telah dicuri".
"Saya tetap memperhatikan beberapa kata di blog Tuan Khosrowshahi. Dia tampaknya menjauhkan 'sistem dan infrastruktur korporat Uber' dari 'layanan berbasis cloud third-party' yang menjadi sasaran pelanggaran tersebut. Ini mungkin merupakan indikasi dari akar masalahnya. Layanan awan yang diadopsi oleh bisnis adalah sistem perusahaan dan infrastruktur dan dari perspektif keamanan harus diperlakukan seperti itu, "tambahnya.
"Anda tidak bisa mengalihkan akuntabilitas."
Banyak yang lain telah memperingatkan bahwa Uber akan berada di jalan untuk denda besar jika insiden tersebut terjadi setelah 25 Mei tahun depan, ketika GDPR mulai berlaku.
Dean Armstrong, pengacara di Setfords Solicitors, mengatakan "Inggris dan Eropa mengadopsi peraturan ketat mengenai perlindungan data pribadi untuk kejadian yang persis seperti ini."
"Karena Uber belum merilis figurnya, kami tidak dapat berspekulasi mengenai biaya akhir yang potensial dari denda, namun adil untuk mengatakan regulator akan turun dengan keras dan di bawah peraturan kemungkinan akan terjadi dalam puluhan juta," dia menambahkan.
Author : Rama Trisna Pasa
Sumber : Info sec megazine
Post a Comment