【国际资讯】Uber为5700万份数据向黑客买账!

https://p1.ssl.qhimg.com/t0167d70cba20bb4fde.jpg

 

简介

本周,Uber的CSO(首席安全官)和他的助理因他们的恶劣行为被解雇:在去年Uber遭遇了大规模的数据泄露,泄露数据包括5700万司机与乘客的信息,而这件事则被当时的CSO以向黑客付款10万美元破财消灾的方式压制了下去。

数据泄露发生在去年十月份,包括5000万Uber用户的姓名、邮箱、电话号码和700万Uber司机的个人信息以及60万份美国司机驾驶证号码。不过Uber声称社会保障号、信用卡信息、交通地理信息等其他数据并未泄露。

在这次意外事件发生时,Uber正与美国监管调查部门就侵犯隐私问题进行谈判。Uber现在说它有法律义务去向监管部门和驾驶证号码被窃取的司机报告黑客事件,然而,当时Uber只是向黑客付钱请他们删除数据并将数据泄露消息雪藏。Uber声称这些信息从未被黑客利用,但他们拒绝透露黑客的身份。

“这一切本不该发生的,我也不想为此找借口。”9月新上任的CSO Dara Khosrowshahi在一次邮件声明中说:“我们正试着改变这一局面。”

纽约司法部长Eric Schneiderman的发言人Amy Spitalnick说,在星期二Uber发布声明后,他们启动了关于此次黑客入侵事件的调查。与此同时,Uber还因此次泄露事件被顾客要求进行集体诉讼。

近些年黑客已经成功入侵了不少大型公司。Uber此次大规模泄露事件相比Yahoo、MySpace、Target、Anthem、Equifax等黑客入侵事件来说并不算严重,但值得我们注意的是他们极端的问题处理方式:隐藏消息,而不是公之于众。这是Khosrowshahi从前辈Travis Kalanick手中继承Uber后最近的一次丑闻。

Uber声称,公司合伙人之一、前CEO Kalanick在去年十一月——也就是事件发生一个月之后得知了这个消息。而当时Uber正牵扯到和纽约司法部长之间关于数据泄露问题的官司中。同时他们还在和联邦贸易委员会就处理顾客信息问题进行协商谈判。但Kalanick拒绝对此事件进行评论。

 

黑客攻击过程

 

黑客攻击过程如下:两个攻击者访问了Uber软件工程师的私有Github仓库并用从中拿到的登录凭证登录到了公司用来处理计算任务的亚马逊Web服务账户上,并在这个账户的数据中发现了乘客和司机的信息。接下来就是已知的勒索过程了。

 

Uber的回应

 

各州和联邦的法律都有要求公司在敏感数据泄露发生时要通知用户和政府部门。Uber表示它有义务通知驾驶证信息被泄露的司机用户,但可惜当时并没有做到。

Khosrowshahi表示:“在意外发生之后,我们立刻采取了行动以确保数据安全并关闭了个人的非授权访问权限。我们也改进了安全措施并加强了对云存储账户的控制。”

Uber自从2009年建立起就纷争不断,一直处于违反规定的漩涡之中。它至少已经牵扯到了五项刑事调查之中,包括贿赂、非法软件、争议定价以及关于知识产权的不当竞争。除此之外,它还面临十余起民事诉讼。伦敦以及部分政府已经禁止了它们的服务,认为Uber公司行事不顾后果。

早在2016年1月,纽约司法部长已经就2014年的数据泄露未披露事件对Uber处以了2万美元罚金。在去年的攻击发生后,Uber就一直在与联邦贸易委员会协商隐私数据处理问题,同时也在和黑客谈判。在三个月前,Uber终于与联邦贸易委员会谈妥,但并未承认自己的错误行为且未告知对方此次攻击事件。

Uber的新CEO说他的目标是改变Uber目前的现状,他在星期二的时候第一次向纽约司法部长以及联邦贸易委员会通知了去年的攻击事件,同时要求Sullivan辞职并解雇了他的一个高级律师Craig Clark。他们还未对此事做出评论。

Khosrowshahi在邮件声明中说:“我无法抹掉过去的错误,但我可以代表Uber的每个员工表示,我们将从过去的错误中吸取教训。”

Uber公司调查发现,他们的首席法务官对此事并不知情。她的替代者将于周三上任并对此事做简短说明。

Kalanick在六月时因投资者压力被迫辞掉CEO职位,投资者认为他把公司置于严重的风险中。Uber同时招聘了国家安全机构的前法律总顾问Matt Olsen,希望他能帮助公司重建安全队伍,还请隶属于FireEye公司的Mandiant来协助调查这起事件。

Uber最终声明并没有证据表示此次事件的泄露数据被黑客利用,并将为信息被泄露的司机提供免费的信息保护监控服务。

(完)