אובר הסתירה גניבת פרטים של 57 מיליון משתמשים ב-2016

המשתמשים שנפגעו - נהגים ונוסעים - לא קיבלו הודעה שפרטיהם נגנבו והרשויות לא עודכנו על הפריצה ■ בבלומברג דווח כי אובר אף שילמה 100 אלף דולר להאקרים כדי שישמידו את המידע שנגנב

מונית אובר בלונדון / צילום: רויטרס
מונית אובר בלונדון / צילום: רויטרס

אובר (Uber) גילתה כי שילמה 100 אלף דולר להאקרים כדי להסתיר מהציבור כי לפני שנה נפרץ מאגר הנתונים שלה ונגנב מידע לגבי 57 מיליון חשבונות. חשיפה זו מצטרפת לשורת שערוריות ובעיות משפטיות שמהן סובלת חברת הסטארט-אפ בעלת שווי השוק הגבוה ביותר בעולם.

ספקית שירותי התחבורה השיתופית הודיעה כי פיטרה את סמנכ"ל האבטחה שלה, ג'ו סאליבן, ואת סגנו, קרייג קלארק, בגין התרחשות הפריצה ובגין טיוחה. סאליבן, שכיהן בעבר כסמנכ"ל האבטחה של פייסבוק וכן כתובע פדרלי, החזיק בשני תפקידים באובר: סמנכ"ל אבטחה וסגן היועץ המשפטי של אובר.

בנוסף לשמות, כתובות המייל ומספרי הטלפון של מיליוני נוסעים, השיגו הפורצים גישה גם למספרי רישיונות הנהיגה של כ-600 אלף נהגים, לדברי אובר. החברה ציינה כי מידע פיננסי על כרטיסי אשראי ומספרי ביטוח לאומי לא נגנבו. כמו כן מסרה אובר כי זיהתה את הפורצים ו"השיגה הבטחות" שהם השמידו את הנתונים הגנובים.

החברה, הפועלת מסן פרנסיסקו, אמרה כי בימים הבאים היא תיידע את בעלי החשבונות שנפרצו.

היקף הפריצה מתגמד בהשוואה לפריצות שעליהן דיווחו לאחרונה החברות יאהו ו-Equifax, אך מאמצי אובר לשמור בסוד את דבר הפריצה מעוררים תהיות לגבי מספר האנשים שידעו עליה, והאם השתתפו בניסיון הטיוח גם מנהלים שעדיין עובדים בחברה.

משרד פרקליט מדינת ניו יורק פתח בחקירת הפריצה, עלפי הודעת מייל ששלחה אתמול (ג') אחת מדוברות המשרד. היא לא מסרה פרטים נוספים. היום (ד') אמרו רגולטורים באוסטרליה ובפיליפינים כי יבחנו את הפרשה.

מי אישר את התשלום?

עד למועד פרסום הכתבה לא ניתן היה להשיג את תגובתם של סאליבן וקלארק. אחד מדוברי אובר סירב לומר מי אישר את תשלום 100 אלף הדולר. אחת מדוברותיו של טראוויס קלאניק, שכיהן כמנכ"ל כשבוצעה הפריצה, סירבה להגיב.

"אף אחד מהדברים האלה לא היה צריך לקרות, ואני לא אציג תירוצים לזה", נאמר בהודעה שפרסם המנכ"ל דארה קוסרשאהי על הפריצה והטיוח. "אני לא יכול למחוק את העבר, אבל אני יכול להתחייב בשם כל עובדי אובר כי נלמד מהשגיאות". הוא הוסיף כי "אנו משנים את האופן שבו אנו עושים עסקים, ומציבים את היושרה בלב לבה של כל החלטה שאנו לוקחים. אנו עובדים קשה כדי לזכות באמון לקוחותינו".

הפריצה למערכת אובר דווחה במועד מוקדם יותר בבלומברג. פרשת הטיוח יצרה אתגר נוסף למנכ"ל אובר החדש, שנכנס לתפקידו לפני פחות משלושה חודשים, ושמנסה להביא יציבות לחברה לאחר שנה של פרשות מעוררות מחלוקת ושגיאות שבוצעו בתקופת כהונתו של קודמו בתפקיד, קלאניק, אחד ממייסדי החברה. אובר, ששווי השוק שלה נאמד ב-68 מיליארד דולר, ידועה לשמצה במנהגה למתוח את הגבול בכל הנוגע לציות לחוק כדי לחלוש על שוק שירותי התחבורה השיתופית.

קוסרשאהי ירש מקודמו בתפקיד המנכ"ל כמה חקירות פדרליות נגד החברה בגין מהלכים שנקטה נגד יריבות ורגולטורים, וכן בגין הפרה לכאורה של החוק למניעת מעשי שחיתות בחו"ל.

אובר מנהלת מאבק משפטי סוער נגד החברה האם של גוגל, אלפאבית, שהגישה בפברואר תביעה משפטית נגד אובר בגין גניבה לכאורה של סודות מסחריים בתחום פיתוח מכוניות אוטונומיות. כמו כן עושה אובר מאמצים להתאושש מהשערורייה שפצה בעקבות טענותיה של מהנדסת לשעבר כי צוות ההנהלה של אובר התעלם מתלונות שלה ושל עובדת נוספת על סקסיזם והטרדה מינית.

אובר אמרה שהיא משתפת פעולה עם הרגולטורים הפדרליים בחקירות אלה. היא חולקת על אמיתות טענותיה של אלפאבית, ומנהלת מאבק משפטי נגדה.

תקופת כהונתו הקצרה של קוסרשאהי באובר רצופה מאבקים פנימיים בין הדירקטורים במועצת המנהלים, בייחוד בין קלאניק ובעלת המניות בנצ'מרק קפיטל בסוגיית המשטר התאגידי של החברה. בעיצומן של כל הסערות האלה, מנהל קוסרשאהי מו"מ עם סופטבנק על עסקת השקעה של יותר מ-10 מיליארד דולר באובר - הן באופן ישיר והן באמצעות רכישת מניות מעובדים ומבעלי מניות אחרים.

סופטבנק פועלת לקבוע את המחיר שבו תרכוש מניות בהיקף של מיליארדי דולרים בהצעת רכש לבעלי מניות קיימים ועל בסיס שווי שוק נמוך מאומדן 68 מיליארד הדולר של אובר, על פי מקורות יודעי דבר.

אובר חשפה את דבר הפריצה למערכת הנתונים שלה לפני פרסום הצעת הרכש, מכיוון שעניין הפריצה עשוי להיות בעל חשיבות למשקיעים, לדברי המקורות. לא ברור אם סופטבנק תנצל חשיפה זו כקלף מיקוח. אחד מדוברי החברה היפנית סירב להגיב.

"צעדים מיידיים" לאבטח את הנתונים

אובר אמרה כי הפריצה בוצעה באוקטובר 2016, וכי לקלאניק נודע עליה בנובמבר 2016. החברה הוסיפה כי נקטה "צעדים מיידיים" לאבטח את הנתונים, ופעלה למנוע גישה לא מאושרת במקביל לחיזוק מנגנוני האבטחה. עם זאת, ציינה אובר כי לא דיווחה על הפריצה לרשויות, ללקוחות ולנהגים. לאחר שנודע לקוסרשאהי על הטיוח, הוא הורה לפתוח בחקירת נסיבות הפריצה ופיטר את סאליבן וקלארק.

אובר אמרה כי שכרה את מאט אולסן, לשעבר היועץ המשפטי של סוכנות הביטחון הלאומי של ארה"ב (NSA) כדי לייעץ לה, ואף שכרה את שירותיה של Mandiant, חברת אבטחת סייבר בבעלות FireEye, כדי לסייע במאמצי האבטחה.

ספקית שירותי התחבורה השיתופית אמרה שהיא מציעה בחינם פיקוח אשראי לנהגים שחשבונותיהם נפרצו, וכן פיקוח נוסף לחשיפת מעשי מרמה אפשריים בחשבונותיהם של לקוחות שנפגעו.

תקנות רשות ניירות הערך של ארה"ב (SEC) דורשות מחברות ציבוריות לחשוף פריצות רחבות היקף למערכות הנתונים שלהן. במועד מוקדם יותר השנה פתחה SEC בחקירה נגד יאהו, שהפכה לאחת מיחידות וריזון, כדי לבדוק אם החברה דיווחה בעיתוי הנדרש על פריצה שבוצה ב-2014. אך אובר היא חברה פרטית, ולפיכך מועטים הסיכויים ש-SEC תפתח בחקירה נגדה, לדברי דייויד צ'ייס, לשעבר פרקליט במחלקת האכיפה של SEC.

ייתכן שה-SEC עשויה לחקור מידע כוזב שמסרה אובר בהקשר של מכירת מניותיה, "קרוב לוודאי ש-SEC לא תקצה משאבים לחקירה, בהנחה שמשקיעה מתוחכמת כמו סופטבנק כבר תבצע את בדיקת הנאותות הדרושה", אמר צ'ייס.

מכיוון שאין שום חוק פרטיות נתונים פדרלי, הבסיס החוקי המחייב את אובר לדווח על הפריצה הוא מורכב מטלאים של חוקים מדינתיים ב-48 מדינות שמתייחסים למקרי פריצה למאגרי נתונים, ושמכילים דרישות דיווח שונות ולעתים גם מורכבות. חוקים אלה תקפים אם הקורבן או ההאקר מתגורר במדינה שבה קיים חוק מסוים.

חברות שאינן מדווחות למשתמשים בעיתוי סביר לאחר שגילו פריצה למאגרי הנתונים שלהן מפירות באופן טכני את החוקים המדינתיים האלה, אך תביעות משפטיות במקרים כאלה הן נדירות מאוד, לדברי אביבה ליטן, אנליסטית בחברת המחקר גרטנר. למדינות "אין את כוח האדם לאכוף את החוקים האלה", אמרה ליטן.

מכיוון שאובר לא דיווחה על הפריצה, ייתכן שהיא חשפה את עצמה לתביעות משפטיות מצד הצרכנים, לדברי כריס הפנגל, פרופסור למשפטים באוניברסיטת קליפורניה, ברקלי.

נציין כי גם בעבר לא הגנה אובר על נתוני נהגים ונוסעים. האקרים כבר גנבו בעבר מידע על נהגי אובר, וב-2014 הודתה החברה כי עובדיה השתמשו בכלי תוכנה בשם God View כדי לעקוב אחר נוסעים.