Uber付錢掩蓋帳戶被駭 5,700萬人受影響

by:徽徽
4718

周二,Uber披露去年 10月資料被駭,影響人數高達 5,700萬人,Uber也在本周開除首席資安長蘇利文(Joe Sullivan)和他的副手,要他們為掩蓋資料遭駭一事下台負責。

post title

你常常使用Uber叫車嗎?近日,Uber傳出去年 10月遭駭客入侵竊取資料的事件,然而當時Uber選擇用錢息事寧人。

路透社

5,700萬人受害  姓名、email、電話遭駭

根據《彭博社》的報導,Uber資料遭駭的範圍包含 5,000萬名乘客和 700萬名駕駛的姓名、email和電話號碼,還有大約 60萬名美國駕駛的駕照號碼。Uber表示,沒有任何人的社會安全碼、信用卡資訊、乘車地點資訊等遭駭。

還原事情經過

當時,兩名駭客登入Uber軟體工程師使用的私人GitHub程式網站,然後利用他們在那得手的帳密登入Uber的亞馬遜網路服務帳戶,盜取帳戶裡放置的機密資訊,其後輾轉發現放有駕駛和乘客資料的檔案夾。

拿出300多萬給駭客

隨後,這兩名駭客聯絡Uber要求贖金,表示只要Uber願意付錢,他們就會把偷來的帳戶資料刪除。於是,Uber付給駭客 10萬美元(折台幣約 302萬元)的贖金,確保被駭的資料不會外洩。

post title

圖為Uber位於埃及首都開羅的辦公室。去年 10月當Uber遭駭時,它們並沒有在第一時間通知當局和資料遭駭的民眾。

路透社

沒有告知遭駭民眾  也沒有跟當局報告

然而,根據美國州法和聯邦法律的規定,遭駭的公司有義務要通知被駭民眾和政府單位事件經過,但Uber卻沒有這麼做。Uber表示,它們認為遭駭的資訊並沒有真的被拿來使用,它們也拒絕揭露駭客的身分。

第一時間採取行動

Uber現任執行長寇斯勞沙希(Dara Khosrowshahi)說:「在遭駭事件發生時,我們立刻採取行動保護資料,並且進一步拒絕未授權的登入。我們也設置了安全措施限制登入,以及加強對我們雲端儲存帳戶的控制。」

post title

圖為Uber現任執行長寇斯勞沙希,他最近才得知去年Uber遭駭事件,他也提出接下來Uber會怎麼保護資安。

路透社

現任執行長  最近才知道遭駭

而這起掩蓋了一年多的遭駭事件之所以會被爆出,主要是因為Uber董事會近幾個月開始調查公司過去的所作所為。

八月底才走馬上任的Uber現任執行長寇斯勞沙希表示,他最近才知道Uber在去年遭駭。

CEO:不會為此找藉口

Uber現任執行長寇斯勞沙希說:「這些事情都不應該發生,我也不會為此找藉口。雖然我無法抹滅過去,但我可以代表每一位Uber員工承諾會記取教訓。我們正在改變我們做生意的方式,將誠信作為我們做決定的核心,努力贏得顧客的信任。」

接下來會怎麼做?

接下來,Uber執行長寇斯勞沙希表示,他們會請前美國國安局的總法律顧問來指導Uber的資安團隊,並且通知駕照號碼被駭的駕駛,提供他們信用監測和身分防盜服務。Uber表示,他們現在還沒有發現任何和這起遭駭事件相關的詐騙或侵害事件。

post title

圖為Uber的共同創辦人兼前執行長卡拉尼克,他被指控在擔任執行長期間明明知道資料庫遭駭,但卻知情不報。

路透社

前CEO知情不報

這起Uber遭駭事件也讓外界重新檢討Uber前執行長卡拉尼克(Travis Kalanick)。《彭博社》指出,卡拉尼克在去年 11月就知道資料遭駭,但他當時並沒有向外界揭露。

今年六月黯然下台

今年六月,受到投資人指責領導無方的卡拉尼克離開了Uber執行長的位子,但還是盡力爭取董事會席次。Uber早期投資人──Benchmark風險投資公司一直以來都很支持卡拉尼克,但它們在卡拉尼克下台的當月告卡拉尼克詐欺。

針對這起駭客事件,卡拉尼克的發言人拒絕評論。


延伸閱讀:《《權力遊戲》被駭 HBO資安破大洞
Uber前員工自述遭性騷擾 執行長承諾徹查
英國法院:Uber司機不算承攬人 勞工該有的權利都得給

參考資料:
01 Uber Paid Hackers to Delete Stolen Data on 57 Million People
02 Uber Discloses Data Breach, Kept Secret for a Year, Affecting 57 Million Accounts
03 Uber data breach from 2016 affected 57 million riders and drivers