Технологии безопасности

Сайт посвященный вопросам безопасности

Сотрудники Uber использовали «режим Бога» для слежки за бывшими

После последнего обновления мобильное приложение Uber начало отслеживать координаты пользователя не только при запуске приложения, но и после поездки (функция Trip Related Location Data). Координаты отслеживаются ещё 5 минут после выхода из такси, приложение работает в фоновом процессе.

Разумеется, это сделано для удобства пользователей, чтобы улучшить качество обслуживания. Теперь Uber знает не только куда вы приехали, но и куда вы направились после выхода из такси.

Даже без этого нового функционала платформа Uber и ей подобные сервисы представляют собой мощную систему тотальной слежки за горожанами, ведь оно привязывается к банковской карте и точно идентифицирует каждого пассажира.

Как стало известно, некоторые сотрудники Uber постоянно занимались «халтуркой» — отслеживали поездки обычных граждан, в том числе бывших супругов, знакомых девушек и парней. Возможно, заказы на получение такой информации принимались даже со стороны — от друзей и знакомых. Кроме ревнивцев, сотрудники Uber отслеживали поездки на такси некоторых знаменитостей, в том числе R&B-певицы Бейонсе. Воозможно, они делали это не из коммерческой выгоды, а из простого любопытства. Почему бы нет, если они имеют доступ к этой информации.

О такой практике внутри Uber стало известно из письменного судебного заявления Сэмюэля Шпангерберга (Samuel Ward Spangenberg), которые он дал в октябре этого года, подписавшись под уведомлением об ответственностью за дачу ложных показаний. Ранее Шпангерберг был в штате Uber и занимался внутренними проверками. Сейчас он судится с бывшим работодателем.

«Отсутствие безопасности пользовательских данных привело к тому, что сотрудники компании получили возможность отслеживать высокопоставленных политиков, знаменитостей и даже личных знакомых сотрудников, в том числе бывших девушек/парней и бывших супругов», — указал Сэмюэль Шпангерберг в письменном заявлении.

Ещё два года назад ходили слухи о том, что руководство Uber использует некий «режим Бога», чтобы отслеживать любого пассажира такси. С тех пор компания неизменно опровергала эту информацию и убеждала пользователей, что максимально заботится о них и защищает персональную информацию. Компания якобы усилила защиту, так что сотрудникам запрещено получать доступ к базе, за исключением редких случаев. Теперь же появились прямые доказательства, что своеобразный «режим Бога» был доступен не только для руководства, но и для рядового персонала. Журналисты из центра независимых расследований Reveal получили показания, от пяти бывших сотрудников отдела безопасности Uber о том, что компания не прекратила подобную практику даже после скандала двухлетней давности.

По словам бывших безопасников Uber, тысячи рядовых сотрудников Uber могли получить сведения о том, где и когда конкретные пассажиры заказывали такси и куда ехали. Сотрудникам также доступна информация о номерах социального страхования и другая персональная информация о водителях Uber.

Шпангерберг заявил ещё, что компания намеренно уничтожала документы, которые обязана хранить по закону. Такое делалось перед государственными проверками зарубежных офисов Uber. На компьютерах в офисах файлы зашифровывались в удалённом режиме перед проверками. Шпангерберг утверждает, что предупреждал руководство о незаконности этих действий, а через 11 месяцев его уволили.

Компания Uber в официальном заявлении для суда опровергла обвинения в недостаточной защите пользовательских данных и незаконной практике в процессе документооборота. Она заявила, что уволила нескольких сотрудников (менее 10 человек) за незаконный доступ к приватной информации о пассажирах.

Последнее обновление приложения Uber с функцией Trip Related Location Data повышает удобство пассажиров, которым «нечего скрывать», но вызвало озабоченность правозащитников, тем более что к компании Uber и раньше были претензии. Фонд электронных рубежей даже отправлял жалобу в Федеральную торговую комиссию.

Как показывает практика, централизованный сбор и хранение приватной информации всегда создаёт почву для злоупотреблений. Жертвами могут стать совершенно невинные люди, которым якобы «нечего скрывать» от государства. Помните, как сотрудники АНБ разглядывали интимные фотографии голых девчонок в случайно перехваченном трафике? Сейчас вот стало известно о злоупотреблениях со стороны рядовых сотрудников Uber. Если есть центральная база с приватной информацией — злоумышленники обязательно найдут способ, как получить к ней доступ.

Они могут сделать это с помощью социальной инженерии — через подкуп сотрудников Uber, даже через романтические отношения с ними (знаменитый хакер Кевин Митник даже женился на администраторе из телефонной компании GTE, говорят, чтобы получить доступ в систему, ведь раньше толстый и неуклюжий хакер не проявлял интереса к женщинам). Государственным спецслужбам получить доступ в систему ещё проще — они могут злоупотреблять властью, создавая видимость действий в рамках правового поля.

Так что подумайте ещё раз, прежде чем включать функцию сбора геоданных в мобильном телефоне.

У компании Uber более 40 миллионов пользователей в 60 странах, в том числе в России, Украине и Беларуси. Ежедневно такси Uber перевозят более 8 миллионов пассажиров.