美国网约车服务商优步(Uber)表示一起黑客攻击导致了该公司所持有的全球5700万使用者和司机的个人信息被暴露,涉及的具体个人信息包括姓名、电子邮箱以及电话号码等。而为了平息此事,优步则是向黑客支付了10万美元的“赎金”以让其删除这些数据……
每经编辑 每经记者 蔡鼎
自从优步中国和滴滴打车合并之后,优步的日子越来越不好过。今年6月,由于公司内部频发性骚扰案件,优步炒掉了20名员工;同月优步的联合创始人、前首席执行官卡兰尼克被迫辞职……
而今天,优步再一次因为自己的愚蠢做法而被推上风口浪尖。
北京时间11月22日凌晨,优步公司CEO达拉·科斯罗萨西(DaraKhosrowshahi)在公司官网上发布一份公告,公告称:我最近得知,在2016年底,有两名公司外部人员窃取了优步公司储存在第三方云服务器中的用户数据。
▲图片来源:优步公司公告
两名黑客窃取并下载了全球5700万优步用户的姓名、电子邮箱、电话号码等,其中包括60万美国境内优步司机的姓名、驾照信息。但优步表示,社会安全码、信用卡信息和行程细节等数据没有被盗。
优步CEO的公告发出后,彭博社等媒体提出了质疑,去年10月份5700万名乘客和司机的个人数据遭到泄露,优步为什么在时隔一年才将这一重大安全漏洞对外公布?
达拉·科斯罗萨西解释说:当数据泄露发生时,我们立即采取措施保护用户数据,并关闭了未经授权形式的个人访问,我们还实施了安全措施,限制了对基于云计算的存储账户的访问,并加强了控制。我也很疑惑,为什么公司一年之后才公布该消息。因此,我向公司相关部门提出了几项处理措施:咨询了有关专家,指导优步公司安全管理团队工作;就个人信息被下载一事,单独向相应的优步用户和司机发出通知;通知监管部门;公司正在密切监控被窃取账户情况。
根据彭博社报道,优步的联合创始人、前CEO卡兰尼克在2016年11月,也就是黑客入侵的一个月后,便得知了此事。但目前,卡兰尼克本人拒绝就此事置评。
值得注意的是,优步在得知用户信息遭窃取之后,不仅并没有对外披露,还给黑客交“赎金”。
据彭博社报道,首席安全官乔·沙利文(Joe Sullivan)和一名副手“尽职”地向黑客支付了10万美元的赎金,让黑客删除盗窃的信息。本周,优步公司就将这两人开除。彭博社上月曾报道称,优步董事会对沙利文的安全团队的活动进行了调查。正是在这次调查中,优步才发现了这次信息泄露以及公司未对外界披露的事实。
彭博社报道中称,两名黑客访问了优步软件工程师使用的一个私人GitHub编码站点,然后使用他们在那里获取的登陆凭证来访问储存在亚马逊云服务(AWS)账户上的数据,而该账户的目的正是为优步处理计算任务。而恰恰是在那个账户里面,黑客们发现了一个关于优步乘客和司机的档案。优步表示,黑客给优步发来了电子邮件,以勒索的方式换取赎金。
▲图片来源:视觉中国
每日经济新闻记者注意到,根据美国各州和联邦的法律,当敏感的数据发生泄露时,公司必须通知数据泄露的受害者和政府机构。优步也表示,公司有义务对受害司机们报告其车牌信息被盗的消息,但其并没有这么做。
自2009年成立以来,优步频繁涉嫌触犯法律法规。彭博社援引知情人士称,美国已经对优步可能涉嫌贿赂、非法软件、可疑定价计划以及对竞争对手知识产权的盗窃展开了至少五次刑事调查。此外,优步还面临着数十项民事诉讼。
近年来,越来越多的公司被黑客攻击。其实,与雅虎、MySpace、美国第二大零售商塔吉特(Target Corp.)和美国信用机构EquifaxInc等这些公司遭遇黑客入侵的规模相比,优步此次的重大安全漏洞简直不值一提(今年9月初,美国三大信用评级机构之一的Equifax公司宣布其遭遇黑客入侵,大约1.43亿名美国用户数据泄露)。但令人担忧的是,优步在得知司机和乘客的个人信息被盗后并非采取积极的弥补措施,而是支付赎金掩盖此事。
每经记者 蔡鼎
每经编辑 王嘉琦
1本文为《每日经济新闻》原创作品。
2 未经《每日经济新闻》授权,不得以任何方式加以使用,包括但不限于转载、摘编、复制或建立镜像等,违者必究。