Uber verkar bokstavligt talat ha gömt nycklarna under dörrmattan när databasnycklar lagrades i källkod på Github.
I ett omfattande dataintrång hos alternativtaxiföretaget Uber har namn, e-postadresser och telefonnummer till 50 miljoner Uberkunder samt information om sju miljoner förare stulits.
Tre saker är skrämmande i sammanhanget. Den första är att detta skedde för ett år sedan, men offentliggjorts först nu, när en ny VD tillträtt.
Den andra är att intrånget skedde med hjälp av behörighetskoder som fanns på Github och den tredje är att Uber valde att betala 100 000 dollar till angriparna för att radera informationen och hålla tyst.
De ansvariga har enligt uppgift avskedats.
– Det är oförsvarligt att förvara accesskoder och lösenord i Github. Det är ett webbhotell där man kan lagra källkod, däremot inte data som ger tillgång till miljontals personuppgifter. Förutom misstaget att betala och försöka mörka intrånget visar det på mycket stora brister i säkerhetsarbetet. Tyvärr finns det väldigt lite som tyder på att det här är sista gången ett företag valt att förvara kritisk information på fel plats. Du lägger inte nycklarna till slottet på torget om du vill slippa oönskade besök, kommenterar Per Söderqvist, säkerhetsexpert på Sophos.