האחראי לפריצת הענק לאובר: "בן 20 שמתגורר עם אמו"
צעיר מפלורידה עומד מאחורי גניבת פרטים של 57 מיליון משתמשים של חברת הנסיעות השיתופיות. החברה שומרת על זהותו ועל זהות אדם נוסף שסייע לו בסוד. "אובר" שילמה את דמי כופר בסך 100 אלף דולר במסווה של מענק לחוקרי אבטחת מידע שמדווחים על פריצות באפליקציה. "טעות שלא דיווחו לרשויות"
האקר בן 20 מפלורידה הוא האחראי לפריצת הענק למאגרי המידע של חברת הנסיעות השיתופיות "אובר" בשנה שעברה. 3 גורמים המעורים בפרטים אמרו הלילה (חמישי) לסוכנות הידיעות רויטרס כי החברה שילמה לצעיר דמי כופר ושתיקה בסך 100 אלף דולר כדי לטייח את הפרשה.
לפני כשבועיים הודתה החברה בפריצה שהביאה לגניבת נתונים של 57 מיליון משתמשים בחודש אוקטובר אשתקד, אך לא חשפה את פרטיו של ההאקר. על פי הדיווח, החברה שילמה את התשלום להאקר במסווה של קרן מענקים לחוקרי אבטחת מידע שמדווחים על פרצות באפליקציה. זהותו של הצעיר טרם ידועה, וכן זהותו של אדם נוסף שעל פי הגורמים סייע לו. דובר החברה סירב להגיב על דבר התשלום.
המנכ"ל החדש של "אובר", דארה קוסרשאהי, פיטר שני בכירים במערך האבטחה של החברה לאחר שהפרשה התגלתה, ואמר כי הדבר היה צריך להיות מדווח לרשויות באותו הרגע. עדיין לא ידוע מי אישר את התשלום להאקר שגנב את הפרטים, אך גורמים בחברה טוענים כי המנכ"ל לשעבר טראוויס קלניק היה מודע לפריצה ולתשלום שהועבר בחודש לאחר מכן. גם קלניק סירב להגיב לדיווח.
בכיר לשעבר בקרן המענקים אמר כי תשלום של 100 אלף דולר לחוקר אבטחה הוא "שיא של כל הזמנים". מומחי אבטחת מידע אמרו כי תשלום להאקר שגנב מידע הוא מהלך חריג, בעיקר לאור העובדה שחוקרים שמסייעים לחברה מקבלים סכומים שנעים בין 10,000-5,000 דולר.
על פי 2 גורמים נוספים, "אובר" שילמה את דמי הכופר כדי לחשוף את זהותו של ההאקר, וחתמה איתו על הסכם סודיות כדי למנוע תקלות עתידיות. החברה בדקה גם את מחשבו של ההאקר כדי לוודא שהמידע שנגנב לא הודלף. אחד הגורמים אמר כי "ההאקר התגורר עם אמו ועזר לה עם הוצאות הבית", וציין כי בכירי החברה לא רצו להעביר את פרטיו לפרקליטות מאחר ולא ראו בו איום עתידי.
על פי אחד הגורמים, ההאקר מפלורידה שילם לאדם נוסף שסייע לו לפרוץ לשרת החיצוני שסיפק שירותי ענן ל"אובר" ואחסן את המידע שנגנב. החברה שמחזיקה בשרת החיצוני מתעקשת כי לא היו פרצות באבטחתו, אך ציינה כי היא ממליצה לכל המשתמשים שלא לאחסן ססמאות וקבצים רגישים נוספים.
אנשי "אובר" קיבלו מייל אנונימי בשנה שעברה עם דרישת כופר תמורת מידע גנוב. המייל הועבר למערך אבטחת המידע חיצוני שעובד עמה, שכאמור מתגמל כספית חוקרים שמגלים פרצות אבטחה. "אובר נכשלה בכך שלא דיווחה על הפריצה לרשויות ושכנעה את עצמה שהבעיה טופלה", אמרו עובדים בחברה ששוחחו עם רויטרס.
"אם ההאקר היה מדווח על פרצת האבטחה בדרכים המקובלות, היו מכריזים על כך בפומבי", אמרה קייטי מוסוריס, בכירה לשעבר בקרן המענקים. "להחזיק בקרן מענקים כדי לעלות על פרצות אבטחה לא מאפשרת לחברה לוותר על הדיווח. אף אחד לא מעל החוק", הוסיפה.
הנהלת החברה פיטרה את מנהל האבטחה הבכיר ג'ו סאליבן, מהמוערכים והבולטים ביותר בתחומו בעמק הסיליקון, ואת אחד מסגניו שהסתירו את פרטי הפריצה למאגר המידע שלה. על פי גורמים בחברה, סגנו של סאליבן דיווח למחלקת הפרטיות של החברה על הפריצה, אך לא ברור אם דיווח גם למחלקה המשפטית שאמונה על הדיווח לרשויות.
"איני יכול למחוק את העבר", אמר המנכ"ל קוסרשאהי בתגובה לדיווח הראשוני על הפריצה. "אני יכול להתחייב בשמם של כל עובדי החברה שנלמד מהטעויות שלנו. אנחנו נשים את ההגינות בבסיסה של כל החלטה שניקח מהיום ונעבוד קשה כדי להרוויח מחדש את אמונם של המשתמשים".
קוסרשאהי אמר לעובדי החברה לפני 3 חודשים כי הוא מתכנן להנפיק את החברה ב-3 השנים הקרובות. בשיחה שערך במטה החברה בסן פרנסיסקו בחודש אוגוסט אמר קוסרשאהי: "החברה צריכה להשתנות. מה שהביא אותנו הנה, הוא לא מה שיביא אותנו לשלב הבא".
לפנייה לכתב/ת 
