57 triệu người dùng Uber bị đánh cắp thông tin: Sự cố được báo trước

VH- Những ngày này, vụ 57 triệu người dùng Uber trên thế giới bị đánh cắp thông tin cá nhân đang gây xôn xao dư luận. Điều đáng nói là nhiều cá nhân đã lên tiếng cảnh báo về việc này từ lâu.

Lộ tên tuổi, email, số điện thoại
Cuối năm 2016, hai hacker đã tiếp cận thông tin cá nhân của 57 triệu người dùng Uber, trong đó có tên, địa chỉ email và số điện thoại. Chúng còn lấy số giấy phép lái xe của gần 600.000 tài xế tại Mỹ.
Uber cũng khẳng định lịch sử hành trình, số thẻ tín dụng, số an sinh xã hội và ngày tháng năm sinh của những người dùng Uber không bị đánh cắp trong cuộc tấn công.
Hai hacker được cho là đã truy cập vào một kho lưu trữ cá nhân GitHub vốn được sử dụng bởi các kỹ sư phần mềm Uber, sau đó các công cụ này được dùng để bẻ khóa dịch vụ Amazon Web Services, từ đó lấy đi hàng triệu thông tin về người dùng và tài xế đang tham gia mạng lưới của Uber trên toàn cầu.
Công ty không thông báo với giới chức hay các nạn nhân khi phát hiện ra sự việc. CEO mới của Uber, ông Dara Khosrowshahi khẳng định: “Chúng tôi đã có biện pháp ngay lập tức để đảm bảo an toàn dữ liệu và ngăn chặn truy cập bất hợp pháp. Số dữ liệu bị tải về đã được xóa bỏ”.
CEO của Uber cho biết thêm: “Chúng tôi đã tìm hiểu được cá nhân đó là ai và ngay lập tức xử lý để dữ liệu mà họ có được bị hủy hoại. Chúng tôi cũng tăng cường thêm các giải pháp an ninh để hạn chế các hành vi thâm nhập trái phép trong tương lai”.
Ông Dara Khosrowshahi cũng cho biết, Uber đã liên hệ với luật sư và tổ chức FTC để trình báo về vụ hack bị giấu kín.
Bloomberg cho biết Uber đã trả các hacker 100.000 USD. Dù vậy, trên CNN, công ty chưa xác nhận việc này.
Trong khi Uber đang cố gắng cải thiện hình ảnh trong mắt công chúng, vụ đánh cắp dữ liệu này có thể coi như một cú sốc lớn với công ty. Gần đây, Uber đang đối diện với nhiều bê bối bao gồm việc sử dụng phần mềm Greyball để né tránh cơ quan quản lý, nghi vấn đánh cắp bí quyết từ bộ phận sản xuất xe tự lái của Google…
Sự cố được báo nhiều lần từ trước
Sự cố lộ thông tin người dùng này, thực ra đã được cảnh báo bằng… những scandal trước đây của Uber. Cụ thể, tháng 6.2017, một bí mật đen tối bị tiết lộ, theo đó, Apple để cho ứng dụng Uber mặc sức tiếp cận thông tin người dùng iPhone mà không có biện pháp ngăn chặn nào. Cụ thể là ứng dụng Uber trên iPhone được gài một cửa hậu (backdoor) bí mật cho phép tiếp cận nhiều tính năng của điện thoại.
Nguy hiểm hơn, ứng dụng này còn có thể bí mật chụp lại màn hình iPhone và truy cập vào thông tin cá nhân mà người dùng không hề biết.
Đại diện của Uber nói với tờ Business Insider rằng, mã nguồn trên hiện không còn được sử dụng, và đó cũng chỉ là một phần mã nguồn của ứng dụng chạy trên Apple Watch trước đây với chức năng bật cảnh báo là chính.
Mặc dù không có bằng chứng cho thấy Uber đã sử dụng quyền tiếp cận này để giành lợi thế, nhưng việc ứng dụng Uber được phép truy xuất tới mã nguồn đặc quyền của Apple đã làm dấy lên câu hỏi về tính hợp pháp.
Câu chuyện thứ hai là về việc lạm dụng thông tin khách hàng tại một bữa tiệc của Uber được tạp chí Forbes đăng tải vào năm 2014. Theo đó, trong tiệc khai trương dịch vụ ở Chicago (Mỹ) vào năm 2011, một trong những món quà được mang ra đãi khách chính là God View –hàng trăm khách mời của buổi tiệc đó đã được xem tất cả taxi Uber đang hoạt động trong thành phố và danh sách khách hàng đã gọi xe.
Một khách mời tham gia bữa tiệc này đã nhận ra tên của một nửa trong số đó và đã gửi tin nhắn đến một người là doanh nhân tên Peter Sims để thông báo cô biết vị trí của anh ta. Anh này rất khó chịu khi bị một người gần như không quen biết liên tục cập nhật vị trí của mình.
Khi được biết thông tin đó là từ một bữa tiệc của Uber thì người đàn ông thực sự nổi giận. Việc tiết lộ thông tin vị trí người dùng trong bữa tiệc thực sự là hành vi chia sẻ thông tin trái phép và rõ ràng là Uber đã vi phạm hợp đồng với khách hàng.
Theo một chuyên gia bảo mật thì đây là một ví dụ khác của cách mà các cá nhân tại tổ chức có thể truy cập tự do và sử dụng thông tin cá nhân của khách hàng cho mục đích tiếp thị (hay trong trường hợp này là giải trí). Nếu một nhân viên xấu của các công ty đó muốn truy đuổi bạn hay đơn giản là muốn làm bạn xấu hổ hay tiết lộ thông tin về các mối quan hệ lãng mạn của bạn, họ sẽ có thể làm được”.

Chi Mai