Uber 被黑付钱隐瞒一年后无法再隐瞒下去,CSO 下台仍难解开到底谁下决定付钱压下消息

作者 | 发布日期 2017 年 11 月 22 日 11:30 | 分类 资讯安全
20170608143338-624x350

【Technews科技新报】Uber 的商业技俩、公司职场性别问题,以及前 CEO 的争议作风,这次雪上加霜,Uber 爆出大规模资料外泄事件。Uber 去年有 5,700 万名用户资料外泄,更糟的是 Uber 发现之后决定付黑客 10 万美元遮掩被骇事件。




Uber 去年 10 月黑客入侵,11 月发现被黑,并决定付钱给黑客隐瞒被骇长达一年,付了 10 万美元。Uber 声明说是放在第三方云服务而遭窃,总计有 5,700 万笔使用者的用户名称、电子邮件、电话号码泄漏,以及 60 万名司机的驾照号码。不过使用者的信用卡、社会安全码和旅程纪录并未泄漏。

这次资料外泄事件,两位黑客先是侵入 Uber 工程师用的 GitHub 私密服务器,之后用取得的帐密进入 AWS S3 资料库,发现 Uber 把乘客和驾驶的资料放在 AWS 云端,之后就是联络 Uber 勒索。但 Uber 选择付钱不张扬事件并毁掉黑客骇到的资料,而不是法律要求通知使用者,以及通报监管单位资料外泄事件。

自从 Yahoo 和 Equifax 泄漏事件之后,Uber 5,700 万笔资料可是最新且相当严重的信息安全事件。Uber 发声明并解职负责信息安全的 CSO Joe Sullivan 及副手 Craig Clark。然而外界很好奇到底这牵连多少位 Uber 公司的人,最终谁决定要付 10 万美元让黑客闭嘴,甚至时任 CEO 的 Travis Kalanick 是否知晓。

这次被黑并不是 Uber 第一次资料外泄事件。2016 年 1 月时,Uber 因未透露 2014 年资料外泄事件,被纽约州检察总长罚 2 万美元。而 Uber 发现被骇后付赎金让黑客保持安静的时间点,Uber 正与政府监管单位调查 Uber 的资料隐私处理议题。也许 Uber 考量不能在公司多事之秋时再添波折,决定付钱了事。Uber 声明说基于法律责任,他们会向监管单位通报。目前美国纽约州检察总长 Eric Schneiderman 要对 Uber 被骇事件展开调查行动。

9 月上任的 CEO Dara Khosrowshahi 表示他最近才知道被骇事件。Khosowshahi 声明说:“这一切不应该发生,我没有任何借口。尽管我不能抹去过去发生的事,我敢保证每位 Uber 员工会从我们犯过的错误学到教训。”

对 Khosrowshahi 来说,虽然不知道前 CEO Kalanick 是否涉入被黑事件的掩饰行动,但这也是 Khosrowshahi 从 Kalanick 接手 Uber 后继承来的麻烦事。

如需获取更多资讯,请关注微信公众账号:Technews科技新报

陈 瑞霖

Technews 副主编,关心开放的议题,如开放内容平台维基百科、开放街图,与软件相关的开放源代码,与学术相关的开放近用,以及最近火红的开放资料。
未经许可,任何媒体、网站或个人不得复制、转载、或以其他方式使用本网站的内容,违者必究。

直接使用新浪微博发表评论

 

发表评论