Компания Uber раскрыла (https://www.uber.com/newsroom/2016-data-incident) информацию о произошедшем в октябре 2016 года инциденте, в результате которого злоумышленники получили доступ к данным в облаке Amazon AWS и смогли загрузить сведения о 600 тысячах водителей и 57 млн пассажиров сервиса.
Взлом был произведён путём перехвата параметров входа в приватную секцию GitHub, в которой разрабатывалось программное обеспечения для работы сервиса. В составе кода атакующие нашли параметры аутентификации для Amazon AWS S3 и подключившись к ним смогли загрузить актуальные данные о пользователях (https://help.uber.com/h/12c1e9d1-4042-4231-a3ec-3605779b8815) и водителях (https://help.uber.com/h/0ded7de4-ed4d-4c75-a3ee-00cddeafc372). В загруженных данных фигурировали ФИО, номера водительских удостоверений (для водителей), email и номера телефонов. По заверению представителей Uber сведения о местоположении, история передвижения, параметры счетов, коды кредитных карт и номера социального страхования не пострадали.Особенностью инцидента стало то, что Uber пошёл на поводу у атаковавших и выплатил им 100 тысяч долларов в обмен на обещание удалить полученную информацию и не сообщать о произошедшем. Гарантией исполнения обещания стало то, что удалось выяснить личности атаковавших и в случае неисполнения обязательства им грозил серьёзный срок заключения. Передача денег была оформлена как выплата вознаграждения за участие в программе по выявлению уязвимостей (Uber Engineering Bug Bounty (https://eng.uber.com/bug-bounty/)), подразумевающей подписание соглашения о неразглашении.
Информация о взломе раскрыта после вступления на пост нового руководителя компании, который считает недопустимым сокрытие подобных инцидентов. Новый CEO также уволил курирующего оформление сделки юриста и попросил покинуть свой пост руководителя службы безопасности.
Сведения о выплате и увольнениях получены (https://www.bloomberg.com/news/articles/2017-11-21/uber-conc...) изданием Bloomberg из своих источников.
URL: https://www.bloomberg.com/news/articles/2017-11-21/uber-conc...
Новость: http://www.opennet.me/opennews/art.shtml?num=47608
облакаааа белогривые лошаадки...
Кто там больше всех топит за певод всего ився в облака..ну ну
> Кто там больше всех топит за певод всего ився в облака..ну нуМоей личной паранойе более чем очевидно, что храня данные в "облаках", вы подставляете ..мнээ.. ну сами знаете что, минимум 2-м конторам - инет-провайдеру и организатору облака.
ну, для бекапов котиков в каком нибудь криптоконтейнере с сохраненной где нибудь локально копией хешей, чтобы исключить подмену - пойдет. Провайдер тут, по крайней мере на несколько ближайших лет, роли не играет - трафик между юзером и облаком шифруется. А от серьезных дядь все равно спасет только бытность неуловимым джо - те и без облаков, даже при отсутствии чего либо кроме цветных лошадей на винте, найдут запрещенку - план то выполнять надо
Вы уже стали жертвой выполнения плана?
> Вы уже стали жертвой выполнения плана?Это не важно, важно то, что ты стал жертвой его невыполнения.
Не спеши реагировать, продолжай перечитывать до просветления.
Нравятся мне бывалые люди. Всегда расскажут, как оно на самом деле.
зачем ты рассказываешь нам здесь о своей влажной мечте ? успокойся, план не будет входить в твою запрещенку
> облакаааа белогривые лошаадки...
> Кто там больше всех топит за певод всего ився в облака..ну ну
Ага, дело то именно в облаке. А хранить пароли надо на github
Ага, пляж, луна и йети. Где взаимосвязь? При чем тут облако? Если чуваки хранили данные доступа к облаку в исходниках разрабатываемого ПО на гитхабе.
> Ага, пляж, луна и йети. Где взаимосвязь? При чем тут облако? Если
> чуваки хранили данные доступа к облаку в исходниках разрабатываемого ПО на
> гитхабе.ну некоторые разработчики не находят различий между -- кодом, конфигом, бэкапом, ...и..т..д...
у них это всё одна большая куча (всё что просматривается через IDE -- это код.. а всё что имеет ревизию -- это версия бэкапа :-))
Н-дэ... Глупо получилось, чуваку залепил коммент про взаимосвязь а на нить не глянул. Это был всего лишь сраказм от него...( сарказм ).Так что я тоже как некоторые разрабы не нахожу отличий между и между ))
о да, они должны были делать сервис на своем домашнем компутере )))
> о да, они должны были делать сервис на своем домашнем компутере )))нанять инженеров, арендовать датацентры, построить собственную инфраструктуру (дорого? AWS в больших масштабах тоже нифига не дешев, скорее - безумно дорог, потому что ты платишь за все то же самое - плюс дяде на карман) - не-е-е-е, это не по модному-современному, инвесторы не поймут.
Мы лучше еще раз дизайн приложения обновим.
И да, купить гитхаб/взять бесплатный(один хрен модный хипстадев ничего кроме гит не умеет) гитлаб и поставить да хоть на свой aws - не, не по нашему - мы будем закрытый корпоративный код держать в общественной помойке.
Но новый CEO, походу, молодец, так держать.
> Но новый CEO, походу, молодец, так держать.новый CEO использует инцидент в каких то своих внутренне-корпоративных целях, сугубо личных. Может быть дажу чтоб кого-то убрать, или заболтать другой инцидент.
Инфа сотка?
стосороковка.
по-моему нет смысла искать черную кошку в темной комнате, когда держишь ее уже за шкирман.
Очевидно, "во внутрикорпоративных целях" и "кого-то убрать" - уволил автора договорняка и ответственного за секьюрити, прошляпившего эпик-фейл (второе должен был сделать предыдущий CEO, но он, вероятно, не мог - был чем-то этому секьюрити обязан). И скажи еще, что это НЕ соответствует корпоративным целям.
чем выше стандарт безопасности, тем вероятнее то, что данные теряются на неритмичной основе, "терять" данные это функция прямо заложенная в безопасность и для фейла нужна двойная утечка.
>построить собственную инфраструктуру... потому что ты платишь за все то же самое - плюс дяде на карманНе подозревал ли ты, дорогой пох, что у людей с заточенными под это руками получится дешевле, чем у таксопёров? не знаю в какой конторе ты работаешь, если ли у вас транспортный цех. если есть, то как вы там, сами автозавод построили или таки готовые автомобили покупаете? а чё так? ведь свои машины делать выгоднее! не надо дяде на карман 8))))))
Чукча, не читатель, чукча писатель? Облака то тут при чем? Украли логины и пароли. Имея их не важно где данные хранятся, хоть на localhost. И если нет мозга включить MFA, то это не проблема облаков.
Хранят пароли доступа в git, а виноваты облака. Л-логика(хотя облака это действительно часто зло).
> Хранят пароли доступа в gitв github. В public github. Хранили бы в git на компьютерах разработчиков - их может и сперли бы тоже, но не так вот просто.
Хранили бы в github for enter:price$$$$$$ - тоже.
Был бы клауд приватный с доступом только изнутри периметра - тоже.
> В public github.В private github.
облако - однозначное зло
> Информация о взломе раскрыта после вступления на пост нового руководителя компании, который
> считает недопустимым сокрытие подобных инцидентов. Новый CEO также уволил курирующего
> оформление сделки юриста и попросил покинуть свой пост руководителя службы безопасности.Ай малаццаа.
Теперь для финального clean-up'а Уберу надо найти и уволить источник Блумберга.
> Теперь для финального clean-up'а Уберу надо найти и уволитьuber'ать?
>Теперь для финального clean-up'а Уберу надо найти и уволить источник Блумберга.вероятно уже
>курирующего оформление сделки юриста и попросил покинуть свой пост руководителя службы безопасности
А люди невинные пострадали ни за что.
Как ни за что, они пострадали ради высшего блага, заработка мошенников.
Они пострадали из-за головотяпства сотрудников. Kацкерам не пришлось что-то напрягать что бы получить доступ туда, куда они и получили.>> разрабатывалось программное обеспечения для работы сервиса. В составе кода атакующие нашли параметры аутентификации для Amazon AWS S3
> А люди невинные пострадали ни за что.There's a sucker born every minute.
> В составе кода атакующие нашли параметры аутентификацииуж сколько раз твердили миру: не храните аутентификационные данные в репозитории с кодом…
сколько? можно все с реферальными ссылочками?
Уволили директора и лоера, а виноват небось андрей с бородой, который ездит по конференциям и рассказывает про крутость девопса и докера
> Уволили директора и лоера, а виноват небось андрей с бородой, который ездит
> по конференциям и рассказывает про крутость девопса и докерав смысле - мало ездил, скушно рассказывал? Тут ни девопса, ни докера (точнее, все заемное, у амазона) - как раз на чем, по сути, и облажались - вовремя дать по рукам девелоперам оказалось некому.
Хотя я и понимаю твою боль, но это уже пох (каламбурчик'с! :)Они уже в облаках. Облака им нравятся. Они хотят больше облаков.
И им только в виде кошмара снится что они владеют HW infrastructure :(
Ну не хочешь же ты чтобы каждая компания себе ГЭС соорудила и ЛЭП до коробочек провела? Вот и они хотят IT из розетки ...А то что данные утекли ... хня! От слова - НАПРОЧЬ! У всех крупных игроков утекало, на всех нас, на каждого на шарике многократно!
И ___ЧТО?!?!?!___
Кто то сел? Да хрен с ним - кто то хотя бы стал иметь меньше бабала? Нет!
А значит - забудь. Забей. HW\Net\Infra - спецы теперь нужны только в пяток компаний кто облака делает :( Переквалифицируйся или умри. ТЧК.Я лично - уже :-) Хоть и не нравится мне это овно, а куда денешься?
PS: вспомни как на нас - йунных пиcишников смотрели мужики с мэйнфреймов ... спираль истории, мать еЯ :-))
> Ну не хочешь же ты чтобы каждая компания себе ГЭС соорудила и
> ЛЭП до коробочек провела? Вот и они хотят IT из розеткив силу зеленой плесени в головах граждан, кстати, это может, внезапно, сделаться былью - и накрыть приятный и доходный китайский бизнес по загаживанию последних уцелевших рек на планете плотинами.
> Кто то сел? Да хрен с ним - кто то хотя бы
> стал иметь меньше бабала? Нет!ну, вот секьюрить местный теперь хрена с два найдет работу, с таким пятном в биографии. Хотя, конечно, пойдет чем-нибудь руководить, mba финишд. И это редкое исключение.
> А значит - забудь. Забей. HW\Net\Infra - спецы теперь нужны только в
> пяток компаний кто облака делает :( Переквалифицируйся или умри. ТЧК.ну, я вынужденно и переквалифицировался - поскольку им же нужен кто-то, кто донесет их дерьмо до розетки. Но эта специальность нравится мне еще меньше прежней, я-то хотел настраивать как раз корпоративные сети.
Вместо этого я их дублирую - потому что квалификация средневшивго админчика упала нынче до нуля, зато ЧСВ вырос до небес. В результате, доверить им компьютеры, которые мне все равно нужны - для управления, контроля и разворачивания оборудования - невозможно. И приходится все возводить параллельно - начиная от почты (потому что мне нужно чтобы уведомления приходили, а не слушать их басни о неодолимых трудностях в настройке эксченджа) и заканчивая деплоем блейд-серверов. Со всеми промежуточными остановками.
андрей то все правильно рассказывает
виноват тот кто коммитом пароли в гит захардкодил
> андрей то все правильно рассказывает
> виноват тот кто коммитом пароли в гит захардкодилА захардкодил как раз такой, которому "А чо я буду с зависимостями и отдельным сервером париться, просто поставлю в докере" и "А чо я буду с гитигнором и исключениями париться, просто закоммичу как есть".
виноват тот, кто его собеседовал, тот, кто этого дятла принял на работу, тот, кто его на испытательном сроке курировал, тот, кто давал задания и контролировал.вот эти все роли-люди виноваты. они должны были сказать "у нас так нельзя". заглянуть через плечо в код. дать по ушам.
если "внизу" происходит такая ерунда, да еще такая что её видно снаружи, виноват в первую очередь руководитель, что набрал "по своему образу и подобию" таких долбодятлов. и он в первую очередь должен улететь с ярко светящейся черной меткой и громким пинком в butt.
так и надо халявщикам
Нечего было слазить с PostgreSQL вот и безопасность упала.
> удалось выяснить личности атаковавших и в случае неисполнения обязательства им грозил серьёзный срок заключенияКаким образом удалось узнать личности? Очень сомневаюсь что атаковавшие доверели свои персональные данные Uberу. Ну а если и доверили то их можно теперь и под суд отправить и таким образом вернуть денежки.
Вы не рассматриваете вариант "Блумберг врёт"?
> Каким образом удалось узнать личности?когда в конце-концов приходишь за невиртуальными деньгами - с тобой приходит невиртуальная жопа, за нее вполне могут взять.
скорее всего где-то лоханулись именно на этом этапе.
К тому же они были, вероятно, скорее gray hat, убер готов заплатить деньгами - отлично, берем деньги. Ну хочет он знать кто мы - ок, под ответный nda и отказ от претензий - предъявимся. Так что может и не лоханулись.> Ну а если и доверили то их можно теперь и под суд отправить и таким образом вернуть денежки.
нет, уже нельзя - заплатил, значит, эти люди тобой наняты.
При том что и раньше шанс был мизерный - они ничего не взламывали, доказать факт вымогательства а не добровольного сотрудничества, скорее всего, не вышло бы.
>нет, уже нельзя - заплатил, значит, эти люди тобой наняты.Именно так. В контракте будет изучение возможности взлома. В результатах - взлом, ценник, итого. Всё на бумажках и с подписями имеющими юр. силу.
Это вообще то сплошь и рядом происходит, просто кто по умнее и давно в теме - заранее сообщают - мол мы купим наши дыры, а этим на ходу пришлось скакать.
За это и уволили :)
Ну и новый СЕО - новая команда, кто бы сомневался :) За что спихнуть - найдут полюбэ.
>мы купим наши дырыкопрорация добра к примеру :-)
> Очень сомневаюсь что атаковавшие доверели свои персональные данные Uberу.Номер телефона — тоже персональные данные.
Пост нового СЕО обошелся в 100 килобаксов полагаю.
В целом - мутная история.
Странно, что этого (нового) дыректора сразу же не убрали.
>номера социального страхованияЭто им ещё зачем? Бюрократия на ровном месте?
Это нужно, чтобы передавать данные в IRS (американскую налоговую). SSN нужен только для американских водителей, у обычных пользователей такое не спрашивают.
Я так понимаю, что Uber своих водителей считает работниками по контракту с почасовой оплатой. В таком случае есть специальная форма о получении доходов (W2 или какая-то еще). В этой форме указано, сколько человек заработал. Он потом с этих денег заплатит налог.
В США с налогами очень жестко, за неуплату некоторых даже в тюрьму сажают. Поэтому убер и автоматизирует все мелочи вроде страховок, налогов и прочей ерунды.
я наверное ничего ни в чем не понимаю, но во обьясните мне -- за что уволили юриста? Компания вроде бы сделала все что было в их силах чтобы защитить интересы пользователей, дипломатически все разрешили. Или я неправ?
сделала все что было в их силах чтобы защитить интересы пользователей, дипломатически все разрешили. Или я неправ?
В интересах пользователей было узнать что их данные утекли.
утекли, но потом удалились, как я понял, и не использовались во вред пользователям
> утекли, но потом удалились, как я понял, и не использовались во вред
> пользователямих пообещали удалить. Ты бы поверил, если бы данные твоей карты утекли, или заблокировал бы ее?
одни исследователи безопасности нашли эти данные в открытом доступе, значит и другие могли найти. а пользователи и не знают что их данные убер слил.
> -- за что уволили юриста? Компания вроде бы сделала все чтоза излишнюю ревность в спасении репутации. Которая от этого хода не улучшилась, и вполне могла резко ухудшиться, когда, рано или поздно, кто-нибудь все же проболтается, или внезапно выяснится, что скопировать репу успели и еще какие-то ребята, не только те что заявили, а вот от нынешнего - вполне.
> было в их силах чтобы защитить интересы пользователей, дипломатически все разрешили.
нет, интересы компании. Интерес пользователя - узнать что его данные сперли, и чем быстрее, тем лучше.
>> -- за что уволили юриста? Компания вроде бы сделала все что
>за излишнюю ревность в спасении репутации.Да брось. Банальная зачистка. Когда угонят уже у нового СЕО - будет всё то же самое :-\
И главное - ни пол бакса они на этом не потеряли. Всё остальное - пена. Репутация-шмапутация ... Бог един и это - бАблос!(С)Пелевин :)
> Да брось. Банальная зачистка.ну ты же понимаешь, что если бы не был ни в чем таком замешан - пришлось бы либо платить отступное, либо оставить в покое, даже при очень большом желании избавиться.
И наоборот - покрывать его новому CEO - значит рисковать уже самому вляпаться в зависимость от его тайных знаний.> Когда угонят уже у нового СЕО - будет всё то же самое :-\
совершенно не факт. Новый может пойти совсем другой дорожкой, решая те же проблемы иначе.
Ну, или, при удаче и заинтересованности - предотвращая до перехода в критическую стадию.
Это совершенно не должно помешать его основной работе - делать деньги методом тотальной слежки за своими клиентами (кто-то, помнится, недавно рассказывал об интересном применении battery api ;-)
Даже и наоборот - чем больше клиенты доверяют, тем охотнее они все о себе сольют ;-)> И главное - ни пол бакса они на этом не потеряли. Всё
они в этом случае скорее приобрели.
Сколько раз уже это было сказано, но что в лоб что, по лбу, не храните пароли, тоЛкины, ключи, и вообще хранить конфиги в одно месте с кодом это очень глупая затеря.
Я ради прикола искал проекты на GitHub по ключевым словам типа “ssh”, потом смотрел содержимое коммитов на предмет ssh ключей и паролей.
Потом оставлял им неприличное сообщение в /etc/banner и удалял репозитории (если ключи или пароли работали на GitHub)
Где качнуть одним архивом?