Det pågår nu en omfattande rapportering om dataintrånget hos Uber. Förutom att företaget valde att betala angriparna och därefter försöka mörklägga intrånget är det en påminnelse om att utvecklare och IT-avdelningar måste ta säkerhetsfrågan på större allvar.
– Det är oförsvarligt att förvara accesskoder och lösenord i GitHub. Det är ett webbhotell där man kan lagra källkod, däremot inte data som ger tillgång till miljontals personuppgifter. Förutom misstaget att betala och försöka mörka intrånget visar det på mycket stora brister i säkerhetsarbetet. Tyvärr finns det väldigt lite som tyder på att det här är sista gången ett företag valt att förvara kritisk information på fel plats. Du lägger inte nycklarna till slottet på torget om du vill slippa oönskade besök, kommenterar Per Söderqvist, säkerhetsexpert på Sophos.
GDPR behövs
Att inte tala om för kunder och förare att personuppgifter är på avvägar skapar förstås ännu större risk för att bedrägerier lyckas. Det visar också varför det behövs striktare regler som gör att dataintrång måste offentliggöras utan dröjsmål. GDPR kommer att göra skillnad. När den nya dataskyddsförordningen införs nästa år kommer det att bli mycket kostsamt att bete sig på det sätt Uber gjort, fortsätter Per Söderqvist.
Kort om intrånget hos Uber
Enligt Bloomberg News har namn, e-postadresser och telefonnummer till 50 miljoner Uberkunder samt information om sju miljoner förare läckt ut. Intrånget skedde i oktober 2016 men offentliggjordes först nu. Enligt uppgift ska Uber ha betalat angriparna 100 000 dollar för att radera informationen och hålla tyst.