Uber wurde gehackt, weil sie ihren Sicherheitsschlüssel heraus In der Öffentlichkeit hinterlassen
Denken Sie daran, wie Uber, in einem Freitagabend Beitrag letzte Woche räumte ein, dass die Namen und persönlichen Daten von 50.000 Treiber von einem unbekannten Dritten zugegriffen wurde? Ars Technica hat ein Update. Ein trauriges Update.
Nach Ars, Uber die meisten Anfänger gemacht haben scheint Sicherheit Fehler von allen, welche Dan Goodin ruft "das Online-Äquivalent ein Hausschlüssel unter einer Fußmatte stashing." Es sieht aus wie Uber versehentlich einen sichere Datenbankschlüssel gespeichert – zur Verwendung nur von ausgewählten Mitarbeitern – auf einer öffentlich zugänglichen GitHub-Seite. Der Access Key führte zu eine Datenbank wo Namen der Fahrer und Kennzeichen gespeichert wurden, und offensichtlich noch nie öffentlich sein soll. Sobald das Unternehmen, dass seine Datenbank im Mai letzten Jahres verletzt wurde erkannte, änderte den Schlüssel und nahm die GitHub-Seite offline.
Obwohl Uber nicht öffentlich bestätigt, was auf GitHub war oder wer verantwortlich war, es impliziert es durch Vorladung GitHub im Bemühen um die IP-Adresse eines jeden erreichen, die die GitHub-Seite mehr als sieben Monate im Jahr 2014 zugegriffen haben könnte (was GitHub bereits abgelehnt hat, zu tun). Das Register hat die Vorladung und die Details, und weist darauf hin, dass auch wenn GitHub die Info übergibt, es sehr froh sein werde, wenn es zu nichts führt:
Das heißt, hofft Uber finden sie ein Online-Brotkrumen vom Kern, wer seine Systeme gehackt. Ganz warum Uber mehr als fünf Monate auf GitHub Vorladung gewartet hat, ist unklar, und die Taxi-Buchung Biz hat sich geweigert, die Verzögerung zu erklären.
Wenn Uber ihren Sicherheitsschlüssel auf einer öffentlichen Website, die eine außerordentlich anmaßend Umzug ist wirklich setzen, aber es ist wirklich möglich, dass Uber an dieser Stelle. Ich habe Uber streckte und wird aktualisiert, wenn ich höre, und wir werden herausfinden, früh genug, ob GitHub standhaft bleiben wird. So oder so, komm schon, Jungs.
[Ars Technica, das Register]
Kontaktieren Sie den Autor unter [email protected].