Uber 被駭付錢隱瞞一年後無法再隱瞞下去,CSO 下台仍難解開到底誰下決定付錢壓下消息

作者 | 發布日期 2017 年 11 月 22 日 11:14 | 分類 資訊安全 follow us in feedly

Uber 的商業技倆、公司職場性別問題,以及前 CEO 的爭議作風,這次雪上加霜,Uber 爆出大規模資料外洩事件。Uber 去年有 5,700 萬名用戶資料外洩,更糟的是 Uber 發現之後決定付駭客 10 萬美元遮掩被駭事件。




Uber 去年 10 月駭客入侵,11 月發現被駭,並決定付錢給駭客隱瞞被駭長達一年,付了 10 萬美元。Uber 聲明說是放在第三方雲端服務而遭竊,總計有 5,700 萬筆使用者的用戶名稱、電子郵件、電話號碼洩漏,以及 60 萬名司機的駕照號碼。不過使用者的信用卡、社會安全碼和旅程紀錄並未洩漏。

這次資料外洩事件,兩位駭客先是侵入 Uber 工程師用的 GitHub 私密站台,之後用取得的帳密進入 AWS S3 資料庫,發現 Uber 把乘客和駕駛的資料放在 AWS 雲端,之後就是聯絡 Uber 勒索。但 Uber 選擇付錢不張揚事件並毀掉駭客駭到的資料,而不是法律要求通知使用者,以及通報監管單位資料外洩事件。

自從 Yahoo 和 Equifax 洩漏事件之後,Uber 5,700 萬筆資料可是最新且相當嚴重的資安事件。Uber 發聲明並解職負責資安的 CSO Joe Sullivan 及副手 Craig Clark。然而外界很好奇到底這牽連多少位 Uber 公司的人,最終誰決定要付 10 萬美元讓駭客閉嘴,甚至時任 CEO 的 Travis Kalanick 是否知曉。

這次被駭並不是 Uber 第一次資料外洩事件。2016 年 1 月時,Uber 因未透露 2014 年資料外洩事件,被紐約州檢察總長罰 2 萬美元。而 Uber 發現被駭後付贖金讓駭客保持安靜的時間點,Uber 正與政府監管單位調查 Uber 的資料隱私處理議題。也許 Uber 考量不能在公司多事之秋時再添波折,決定付錢了事。Uber 聲明說基於法律責任,他們會向監管單位通報。目前美國紐約州檢察總長 Eric Schneiderman 要對 Uber 被駭事件展開調查行動。

9 月上任的 CEO Dara Khosrowshahi 表示他最近才知道被駭事件。Khosowshahi 聲明說:「這一切不應該發生,我沒有任何藉口。儘管我不能抹去過去發生的事,我敢保證每位 Uber 員工會從我們犯過的錯誤學到教訓。」

對 Khosrowshahi 來說,雖然不知道前 CEO Kalanick 是否涉入被駭事件的掩飾行動,但這也是 Khosrowshahi 從 Kalanick 接手 Uber 後繼承來的麻煩事。

(首圖來源:Shutterstock)