Такси заказывали? Uber засудят на $250 млн за украденные аккаунты клиентов

Стали известны масштабы ущерба от самого масштабного похищения аккаунтов клиентов и водителей крупнейшего агрегатора такси — Uber. По данным Лайфа, почти полмиллиона граждан США подали иски в суд, требуя возместить им $250 млн. Утечка данных произошла год назад, но Uber это скрывал. Среди пострадавших могут быть водители и пассажиры из России — Лайф нашёл в соцсетях десятки жалоб от русскоязычных клиентов на угон аккаунтов, которые пришлись как раз на этот период. Юристы призывают и российских клиентов Uber не стесняться обращаться в компанию и в суд, если их аккаунты были взломаны.

21 ноября в блоге Uber появилось сообщение исполнительного директора Дары Хосровшахи. Он признался: ещё в октябре 2016 года данные 57 миллионов клиентов были скомпрометированы. Двое хакеров получили доступ к облачному хранилищу Uber на сторонних серверах. Проблема коснулась аккаунтов по всему миру.

Компания узнала об этом сразу, но, как пишут западные СМИ, заплатила хакерам выкуп, чтобы те уничтожили похищенные данные, и скрыла инцидент. Согласно данным американских судов, взломщики получили доступ к номерам страховки, кредитным картам и паролям. В Uber утверждают, что хакеры добрались только до имён и номеров водительских удостоверений.

Лайф выяснил, откуда могла прийти информация об утечке и что заставило "Убер" опубликовать признание.

В Центральном окружном суде Калифорнии 20 ноября был зарегистрирован иск от некоего Алехандро Флореса к компании Rasier. Это — "дочка" Uber. В своём иске мистер Флорес писал, что он долгое время работал в Лос-Анджелесе водителем Uber, однако из-за массовой утечки данных в октябре 2016 года его платёжная информация, как и его коллег, была скомпрометирована. Коллективный иск подала калифорнийская юридическая фирма Wilshire Law Firm. По данным Лайфа, юристы начали копать под Uber ещё в апреле этого года, когда к ним обратилась группа калифорнийских таксистов. Они передали адвокатам различные свидетельства, в том числе и касающиеся финансовых операций в аккаунтах.

Судя по всему, Uber узнал об иске от 20 ноября и решил действовать на опережение. И публично признался в утечке на следующий день, 21 ноября, — ведь сведения из судов и так попали бы в прессу.

Вслед за первым коллективным иском посыпались остальные. Спустя три дня после того, как Uber признался в утечке, американские граждане подали уже девять исков по этому поводу, в том числе коллективных. Свои права считают нарушенными как клиенты, так и бывшие водители компании. В некоторых штатах на защиту клиентов уже встали государственные органы: прокурор Чикаго тоже написал коллективный иск в суд от имени местных клиентов и водителей Uber.

Из документов, оказавшихся в распоряжении Лайфа, следует, что совокупный ущерб от утечки уже оценивают в $250 млн. Всего более 500 тысяч человек могут стать истцами по этим искам.

В российском представительстве Uber не знают, сколько именно российских клиентов пострадало от утечки, и говорят, что работают с властями по этому вопросу. А до завершения "обсуждения" подробности разглашать не готовы.

— По вопросу о российских пользователях: в настоящий момент у нас нет дополнительной информации о России, которой мы могли бы поделиться, — сообщила Лайфу пресс-секретарь Uber Ирина Гущина. — В разных странах мы находимся в процессе информирования регулирующих и иных государственных органов, ожидаем проведения ряда обсуждений с ними. До завершения этого процесса мы не можем предоставить более детальную информацию.

Из ответа Гущиной следует, что Uber ещё в октябре 2016 года получал оповещение о массовой утечке.

— Сразу в момент инцидента мы предприняли меры по сохранению безопасности данных и закрыли доступ к ним для неавторизованных лиц. В дальнейшем мы их идентифицировали и убедились, что скачанные данные были уничтожены, — сообщили в пресс-службе Uber. — Кроме того, отметим, что Uber всегда компенсирует стоимость поездок, которые не были заказаны или совершены пользователем.

Отечественные клиенты с 2016-го начали жаловаться, что их аккаунты взламывают и за их счёт катаются на такси в США, Канаде и даже в Австралии.

— Взломали Uber-аккаунт три дня назад, потерял 6к. [Техподдержка] отмалчивается, — негодует москвич Леонид Орлов в "Твиттере".

— Убер списал почти 500 руб. за как бы поездку. Аккаунт взломали. Сначала пришла СМС о том, что данные обновлены, а потом сняли деньги, — жалуется пользователь malabar.

В своём "Фейсбуке" фотограф Александр Сапрыкин 5 июля рассказывает, как чуть не прокатил за свой счёт кого-то в Австралии, потому что его карту привязали к чужому аккаунту.

А в конце декабря 2016-го, через месяц после утечки, москвичка Доротея Григорян пожаловалась, что с помощью её адреса электронной почты кто-то каждый день ездил по Брайтону (Великобритания).

Лайф побеседовал с бывшим сотрудником российского Uber. По его словам, в компании существует система мгновенного обмена сообщениями. И если в одном подразделении случится форс-мажор, как правило, о нём уведомляют все остальные офисы.

— Однажды было, что мне ночью оповещения приходили, когда в Индии был простой сбой приложения, — делится собеседник.

Руководитель общества по защите прав потребителей "Потребнадзор" Александр Виноградов призывает и российских клиентов сервиса не стесняться отстаивать свои права, если их данные тоже украли.

— Надо писать — сначала в техподдержку Uber. Если они увидят, что у них, к примеру, набралось тысяч десять жалоб, они начнут что-то предпринимать. Скажем, предложат компенсацию или промокоды. Если этого не произошло, надо идти в суды, — говорит Виноградов. — Требовать компенсацию морального вреда. О таких больших суммах, как в США, речи не идёт, но, полагаю, для одного клиента справедливым будет требование в три тысячи рублей.

Зарубежные СМИ, в свою очередь, уверены в том, что за бедами клиентов Uber стоят "страшные русские хакеры". The Times изучила посты британцев в соцсетях: они писали, что после взлома их аккаунтами стали пользоваться на территории России. Нашлось около 800 сообщений, где люди жалуются, что по их аккаунтам кто-то катается в Санкт-Петербурге и Москве. Поэтому газета предположила, что и к этой масштабной утечке причастны русскоязычные взломщики.

В российском подразделении Uber так не считают.

— Случаи, о которых идёт речь в материале The Times, не имеют отношения к утечке данных пользователей в прошлом году, — сообщила Лайфу представитель Uber в РФ Ирина Гущина. — По нашим сведениям, хакеры, виновные в ситуации в Великобритании, не россияне.

Однако у Лайфа есть свидетельства того, что российские хакеры всё же причастны к взломам агрегатора. И даже зарабатывают на них. Как минимум с лета в мессенджере Telegram появились боты с говорящими названиями, которые предлагают широкий выбор различной халявы. Например, воспользоваться сервисом по заказу такси Gett или Uber по тарифам, которые значительно ниже, чем в официальном приложении. Делается это с помощью кардинга — похищения данных кредиток.