Руководство скрывало информацию о происшествии от правоохранителей и СМИ на протяжении года.
В понедельник 20 ноября генеральный директор Uber Дара Хосровшахи (Dara Khosrowshahi) в корпоративном блоге рассказал о крупной утечке данных, которая произошла более года назад. В руках злоумышленников оказалась информация о 50 млн пассажиров и 7 млн водителей. Вслед за этим компания выпустила два сообщения: пользователям предлагают проверить свой аккаунт в Uber, а партнерам — ждать email с дальнейшими рекомендациями.
В настоящее время известно, что двое злоумышленников получили доступ к облачному сервису, где Uber хранит часть пользовательских данных. Они похитили имена, номера мобильных телефонов и адреса электронной почты 57 млн пользователей. В том числе в руках злоумышленников оказались данные о 600 тыс. водительских удостоверений. В Uber подчеркивают, что истории поездок, номера кредитных карт и другие банковские реквизиты, равно как и даты рождения, не попали в руки преступников. Также в сообщении говорится, что взломщики получили доступ к стороннему сервису, а не к внутренним серверам компании.
Скандал с похищенными данными не случайно стал известен так поздно. По информации Bloomberg, руководство компании не только решило не оповещать клиентов об инциденте, но и заплатило злоумышленникам $100 000, чтобы они уничтожили полученные материалы и хранили молчание. Также журналисты объявили об увольнении руководителя отдела безопасности Uber Джо Салливана (Joe Sullivan), который перешел в компанию с аналогичного поста в Facebook в апреле 2015 года.
Примечательно, что информацию об утечке распространил новый CEO Дара Хосровшахи, которого назначили в августе 2017 года после скандальной отставки бывшего руководителя и основателя Uber Трэвиса Каланика (Travis Kalanick). В своем обращении Хосровшахи отметил, что оповестил общественность и правоохранительные органы, едва узнал о произошедшем инциденте. Также нынешний CEO выразил недоумение насчет молчания руководства Uber.
За последние несколько лет сервис несколько раз оказывался в центре скандалов, связанных с кибербезопасностью. В ноябре 2016 года стало известно, что существующие в портале UberCENTRAL уязвимости позволяют украсть имена, номера телефонов и адреса электронной почты любого пользователя системы. В начале марта 2015 года появилась информация, что злоумышленники получили доступ к базе данных водителей. Однако позже в компании опровергли обвинения.