Стали известны масштабы ущерба от самого масштабного похищения аккаунтов клиентов и водителей крупнейшего агрегатора такси — Uber. По данным Лайфа, почти полмиллиона граждан США подали иски в суд, требуя возместить им $250 млн. Утечка данных произошла год назад, но Uber это скрывал. Среди пострадавших могут быть водители и пассажиры из России — Лайф нашёл в соцсетях десятки жалоб от русскоязычных клиентов на угон аккаунтов, которые пришлись как раз на этот период. Юристы призывают и российских клиентов Uber не стесняться обращаться в компанию и в суд, если их аккаунты были взломаны.
Дело на четверть миллиарда
21 ноября в блоге Uber появилось сообщение исполнительного директора Дары Хосровшахи. Он признался: ещё в октябре 2016 года данные 57 миллионов клиентов были скомпрометированы. Двое хакеров получили доступ к облачному хранилищу Uber на сторонних серверах. Проблема коснулась аккаунтов по всему миру.
Компания узнала об этом сразу, но, как пишут западные СМИ, заплатила хакерам выкуп, чтобы те уничтожили похищенные данные, и скрыла инцидент. Согласно данным американских судов, взломщики получили доступ к номерам страховки, кредитным картам и паролям. В Uber утверждают, что хакеры добрались только до имён и номеров водительских удостоверений.
Лайф выяснил, откуда могла прийти информация об утечке и что заставило «Убер» опубликовать признание.
В Центральном окружном суде Калифорнии 20 ноября был зарегистрирован иск от некоего Алехандро Флореса к компании Rasier. Это — «дочка» Uber. В своём иске мистер Флорес писал, что он долгое время работал в Лос-Анджелесе водителем Uber, однако из-за массовой утечки данных в октябре 2016 года его платёжная информация, как и его коллег, была скомпрометирована. Коллективный иск подала калифорнийская юридическая фирма Wilshire Law Firm. По данным Лайфа, юристы начали копать под Uber ещё в апреле этого года, когда к ним обратилась группа калифорнийских таксистов. Они передали адвокатам различные свидетельства, в том числе и касающиеся финансовых операций в аккаунтах.
Судя по всему, Uber узнал об иске от 20 ноября и решил действовать на опережение. И публично признался в утечке на следующий день, 21 ноября, — ведь сведения из судов и так попали бы в прессу.
Вслед за первым коллективным иском посыпались остальные. Спустя три дня после того, как Uber признался в утечке, американские граждане подали уже девять исков по этому поводу, в том числе коллективных. Свои права считают нарушенными как клиенты, так и бывшие водители компании. В некоторых штатах на защиту клиентов уже встали государственные органы: прокурор Чикаго тоже написал коллективный иск в суд от имени местных клиентов и водителей Uber.
Из документов, оказавшихся в распоряжении Лайфа, следует, что совокупный ущерб от утечки уже оценивают в $250 млн. Всего более 500 тысяч человек могут стать истцами по этим искам.
Российские клиенты в доле
В российском представительстве Uber не знают, сколько именно российских клиентов пострадало от утечки, и говорят, что работают с властями по этому вопросу. А до завершения «обсуждения» подробности разглашать не готовы.
— По вопросу о российских пользователях: в настоящий момент у нас нет дополнительной информации о России, которой мы могли бы поделиться, — пишет Гущина. — В разных странах мы находимся в процессе информирования регулирующих и иных государственных органов, ожидаем проведения ряда обсуждений с ними. До завершения этого процесса мы не можем предоставить более детальную информацию.
Из ответа Гущиной следует, что и российское представительство ещё в октябре 2016 года получало по этой системе оповещение о массовой утечке.
— Сразу в момент инцидента мы предприняли меры по сохранению безопасности данных и закрыли доступ к ним для неавторизованных лиц. В дальнейшем мы их идентифицировали и убедились, что скачанные данные были уничтожены, — сообщили в пресс-службе Uber. — Кроме того, отметим, что Uber всегда компенсирует стоимость поездок, которые не были заказаны или совершены пользователем.
Отечественные клиенты с 2016-го начали жаловаться, что их аккаунты взламывают и за их счёт катаются на такси в США, Канаде и даже в Австралии.
— Взломали Uber-аккаунт три дня назад, потерял 6к. [Техподдержка] отмалчивается, — негодует москвич Леонид Орлов в «Твиттере».
— Убер списал почти 500 руб. за как бы поездку. Аккаунт взломали. Сначала пришла СМС о том, что данные обновлены, а потом сняли деньги, — жалуется пользователь malabar.
В своём «Фейсбуке» фотограф Александр Сапрыкин 5 июля рассказывает, как чуть не прокатил за свой счёт кого-то в Австралии, потому что его карту привязали к чужому аккаунту.
А в конце декабря 2016-го, через месяц после утечки, москвичка Доротея Григорян пожаловалась, что с помощью её адреса электронной почты кто-то каждый день ездил по Брайтону (Великобритания).
Лайф побеседовал с бывшим сотрудником российского Uber. По его словам, в компании существует система мгновенного обмена сообщениями. И если в одном подразделении случится форс-мажор, как правило, о нём уведомляют все остальные офисы.
— Однажды было, что мне ночью оповещения приходили, когда в Индии был простой сбой приложения, — делится собеседник.
Руководитель общества по защите прав потребителей «Потребнадзор» Александр Виноградов призывает и российских клиентов сервиса не стесняться отстаивать свои права, если их данные тоже украли.
— Надо писать — сначала в техподдержку Uber. Если они увидят, что у них, к примеру, набралось тысяч десять жалоб, они начнут что-то предпринимать. Скажем, предложат компенсацию или промокоды. Если этого не произошло, надо идти в суды, — говорит Виноградов. — Требовать компенсацию морального вреда. О таких больших суммах, как в США, речи не идёт, но, полагаю, для одного клиента справедливым будет требование в три тысячи рублей.
Русская угроза
Зарубежные СМИ, в свою очередь, уверены в том, что за бедами клиентов Uber стоят «страшные русские хакеры». The Times изучила посты британцев в соцсетях: они писали, что после взлома их аккаунтами стали пользоваться на территории России. Нашлось около 800 сообщений, где люди жалуются, что по их аккаунтам кто-то катается в Санкт-Петербурге и Москве. Поэтому газета предположила, что и к этой масштабной утечке причастны русскоязычные взломщики.
В российском подразделении Uber так не считают.
— Случаи, о которых идёт речь в материале The Times, не имеют отношения к утечке данных пользователей в прошлом году, — сообщила Лайфу представитель Uber в РФ Ирина Гущина. — По нашим сведениям, хакеры, виновные в ситуации в Великобритании, не россияне.
Однако у Лайфа есть свидетельства того, что российские хакеры всё же причастны к взломам агрегатора. И даже зарабатывают на них. Как минимум с лета в мессенджере Telegram появились боты с говорящими названиями, которые предлагают широкий выбор различной халявы. Например, воспользоваться сервисом по заказу такси Gett или Uber по тарифам, которые значительно ниже, чем в официальном приложении. Делается это с помощью кардинга — похищения данных кредиток.