5,700萬人受害 姓名、email、電話遭駭
根據《彭博社》的報導,Uber資料遭駭的範圍包含 5,000萬名乘客和 700萬名駕駛的姓名、email和電話號碼,還有大約 60萬名美國駕駛的駕照號碼。Uber表示,沒有任何人的社會安全碼、信用卡資訊、乘車地點資訊等遭駭。
還原事情經過
當時,兩名駭客登入Uber軟體工程師使用的私人GitHub程式網站,然後利用他們在那得手的帳密登入Uber的亞馬遜網路服務帳戶,盜取帳戶裡放置的機密資訊,其後輾轉發現放有駕駛和乘客資料的檔案夾。
拿出300多萬給駭客
隨後,這兩名駭客聯絡Uber要求贖金,表示只要Uber願意付錢,他們就會把偷來的帳戶資料刪除。於是,Uber付給駭客 10萬美元(折台幣約 302萬元)的贖金,確保被駭的資料不會外洩。
沒有告知遭駭民眾 也沒有跟當局報告
然而,根據美國州法和聯邦法律的規定,遭駭的公司有義務要通知被駭民眾和政府單位事件經過,但Uber卻沒有這麼做。Uber表示,它們認為遭駭的資訊並沒有真的被拿來使用,它們也拒絕揭露駭客的身分。
第一時間採取行動
Uber現任執行長寇斯勞沙希(Dara Khosrowshahi)說:「在遭駭事件發生時,我們立刻採取行動保護資料,並且進一步拒絕未授權的登入。我們也設置了安全措施限制登入,以及加強對我們雲端儲存帳戶的控制。」
現任執行長 最近才知道遭駭
而這起掩蓋了一年多的遭駭事件之所以會被爆出,主要是因為Uber董事會近幾個月開始調查公司過去的所作所為。
八月底才走馬上任的Uber現任執行長寇斯勞沙希表示,他最近才知道Uber在去年遭駭。
CEO:不會為此找藉口
Uber現任執行長寇斯勞沙希說:「這些事情都不應該發生,我也不會為此找藉口。雖然我無法抹滅過去,但我可以代表每一位Uber員工承諾會記取教訓。我們正在改變我們做生意的方式,將誠信作為我們做決定的核心,努力贏得顧客的信任。」
接下來會怎麼做?
接下來,Uber執行長寇斯勞沙希表示,他們會請前美國國安局的總法律顧問來指導Uber的資安團隊,並且通知駕照號碼被駭的駕駛,提供他們信用監測和身分防盜服務。Uber表示,他們現在還沒有發現任何和這起遭駭事件相關的詐騙或侵害事件。
前CEO知情不報
這起Uber遭駭事件也讓外界重新檢討Uber前執行長卡拉尼克(Travis Kalanick)。《彭博社》指出,卡拉尼克在去年 11月就知道資料遭駭,但他當時並沒有向外界揭露。
今年六月黯然下台
今年六月,受到投資人指責領導無方的卡拉尼克離開了Uber執行長的位子,但還是盡力爭取董事會席次。Uber早期投資人──Benchmark風險投資公司一直以來都很支持卡拉尼克,但它們在卡拉尼克下台的當月告卡拉尼克詐欺。
針對這起駭客事件,卡拉尼克的發言人拒絕評論。