Uber 的商业技俩、公司职场性别问题,以及前 CEO 的争议作风,这次雪上加霜,Uber 爆出大规模资料外泄事件。Uber 去年有 5,700 万名用户资料外泄,更糟的是 Uber 发现之后决定付骇客 10 万美元遮掩被骇事件。
Uber 去年 10 月骇客入侵,11 月发现被骇,并决定付钱给骇客隐瞒被骇长达一年,付了 10 万美元。Uber 声明说是放在第三方云端服务而遭窃,总计有 5,700 万笔使用者的用户名称、电子邮件、电话号码泄漏,以及 60 万名司机的驾照号码。不过使用者的信用卡、社会安全码和旅程纪录并未泄漏。
这次资料外泄事件,两位骇客先是侵入 Uber 工程师用的 GitHub 私密站台,之后用取得的帐密进入 AWS S3 数据库,发现 Uber 把乘客和驾驶的资料放在 AWS 云端,之后就是联络 Uber 勒索。但 Uber 选择付钱不张扬事件并毁掉骇客骇到的资料,而不是法律要求通知使用者,以及通报监管单位资料外泄事件。
自从 Yahoo 和 Equifax 泄漏事件之后,Uber 5,700 万笔资料可是最新且相当严重的资安事件。Uber 发声明并解职负责资安的 CSO Joe Sullivan 及副手 Craig Clark。然而外界很好奇到底这牵连多少位 Uber 公司的人,最终谁决定要付 10 万美元让骇客闭嘴,甚至时任 CEO 的 Travis Kalanick 是否知晓。
这次被骇并不是 Uber 第一次资料外泄事件。2016 年 1 月时,Uber 因未透露 2014 年资料外泄事件,被纽约州检察总长罚 2 万美元。而 Uber 发现被骇后付赎金让骇客保持安静的时间点,Uber 正与政府监管单位调查 Uber 的资料隐私处理议题。也许 Uber 考量不能在公司多事之秋时再添波折,决定付钱了事。Uber 声明说基于法律责任,他们会向监管单位通报。目前美国纽约州检察总长 Eric Schneiderman 要对 Uber 被骇事件展开调查行动。
9 月上任的 CEO Dara Khosrowshahi 表示他最近才知道被骇事件。Khosowshahi 声明说:“这一切不应该发生,我没有任何借口。尽管我不能抹去过去发生的事,我敢保证每位 Uber 员工会从我们犯过的错误学到教训。”
对 Khosrowshahi 来说,虽然不知道前 CEO Kalanick 是否涉入被骇事件的掩饰行动,但这也是 Khosrowshahi 从 Kalanick 接手 Uber 后继承来的麻烦事。
- Uber Reveals Data Breach and Cover-up, Leading to Two Firings
- Uber Paid Hackers to Delete Stolen Data on 57 Million People
- Uber: Hackers stole 57m passengers, drivers’ info. We also bribed the thieves $100k to STFU
- Uber Discloses Data Breach, Kept Secret for a Year, Affecting 57 Million Accounts
(首图来源:Shutterstock)
