Vrijdag moest Uber weer eens een hack toegeven. Alsof dat nog niet erg genoeg is bleek de aanval tenenkrommend simpel te zijn geweest. Een deel van de reacties was trouwens om een andere reden tenenkrommend.
Weer is de dader achter de hack van een bedrijf dat op papier miljarden waard is een tiener. Dat bedrijf is beursgenoteerd en heeft alleen al daarom extra veel aandacht te schenken aan security maatregelen. Data van klanten en personeel zijn een andere reden waarom je zou verwachten dat Uber alles maximaal heeft dichtgetimmerd en 24/7/365 monitort.
Als een verveelde puber van 18 jaar met een gerichte social engineering actie een login en wachtwoord weet te achterhalen is er iets niet in orde. Als vervolgens via die login kan worden achterhaald dat ergens in het systeem hardcoded andere logins staan opgeslagen is sprake van een opeenstapeling van domme fouten.
Geen awareness
Het is dan ook een combinatie van verbazing en ergernis die de eerste uren na het doorsijpelen van het nieuws over de hack de boventoon voerde. Die dubbele houding werd versterkt door screenshots. De hacker maakte op het Uber Slackkanaal toch in zeer heldere bewoordingen duidelijk dat hij binnengebroken was. Maar niemand van die medewerkers van het omstreden taxi bedrijf geloofde hem. Dan is er duidelijk nog wel wat meer aan de hand bij het bedrijf dan slechte security. Zijn naar nog nooit awareness traningen gegeven? Er is ook niemand die zich geroepen voelt meldingen die op een andere manier binnenkomen te controleren.
Geen oplossing
Maar daar hield de ellende niet op. Tenenkrommend is ook een deel van de reacties op de hack. Het is bijna triest te zien dat direct tientallen medewerkers van security bedrijven dit incident aangrijpen om de eigen diensten te promoten. Superhypermoderne next gen oplossingen zijn altijd al met een korreltje zout te nemen. In dit geval is het zelfs totale onzin.
Bij deze hack op Uber is sprake van drie blunders. Elk van die blunders zal onherroepelijk leiden tot schade. Er is geen enkele next gen oplossing die alle drie de blunders kan voorkomen. Dus ook niet de schade daarvan kan mitigeren. De manier waarop personeel van sommige vendoren (tot zover bekend niet in Nederland) heeft gereageerd is daarom heel schadelijk voor het imago van alle security bedrijven.
Het is deze combinatie van een onvoorstelbaar eenvoudige en ongekend grote hack plus een aantal reacties dat het thema Uber onbetwist het dieptepunt van de week was.