5700萬用戶數(shù)據(jù)被盜����,黑客勒索贖金����,優(yōu)步的做法讓人大跌眼鏡!
每日經(jīng)濟(jì)新聞
2017-11-22 14:07:22
美國網(wǎng)約車服務(wù)商優(yōu)步(Uber)表示一起黑客攻擊導(dǎo)致了該公司所持有的全球5700萬使用者和司機(jī)的個(gè)人信息被暴露�����,涉及的具體個(gè)人信息包括姓名、電子郵箱以及電話號碼等�����。而為了平息此事���,優(yōu)步則是向黑客支付了10萬美元的“贖金”以讓其刪除這些數(shù)據(jù)……
每經(jīng)編輯 每經(jīng)記者 蔡鼎
自從優(yōu)步中國和滴滴打車合并之后,優(yōu)步的日子越來越不好過���。今年6月���,由于公司內(nèi)部頻發(fā)性騷擾案件,優(yōu)步炒掉了20名員工�;同月優(yōu)步的聯(lián)合創(chuàng)始人、前首席執(zhí)行官卡蘭尼克被迫辭職……
而今天�,優(yōu)步再一次因?yàn)樽约旱挠薮雷龇ǘ煌粕巷L(fēng)口浪尖。
用戶信息被盜 優(yōu)步知情不報(bào)
北京時(shí)間11月22日凌晨�,優(yōu)步公司CEO達(dá)拉·科斯羅薩西(DaraKhosrowshahi)在公司官網(wǎng)上發(fā)布一份公告,公告稱:我最近得知����,在2016年底�,有兩名公司外部人員竊取了優(yōu)步公司儲(chǔ)存在第三方云服務(wù)器中的用戶數(shù)據(jù)�����。
▲圖片來源:優(yōu)步公司公告
兩名黑客竊取并下載了全球5700萬優(yōu)步用戶的姓名���、電子郵箱、電話號碼等����,其中包括60萬美國境內(nèi)優(yōu)步司機(jī)的姓名、駕照信息���。但優(yōu)步表示��,社會(huì)安全碼�、信用卡信息和行程細(xì)節(jié)等數(shù)據(jù)沒有被盜��。
優(yōu)步CEO的公告發(fā)出后����,彭博社等媒體提出了質(zhì)疑���,去年10月份5700萬名乘客和司機(jī)的個(gè)人數(shù)據(jù)遭到泄露,優(yōu)步為什么在時(shí)隔一年才將這一重大安全漏洞對外公布��?
達(dá)拉·科斯羅薩西解釋說:當(dāng)數(shù)據(jù)泄露發(fā)生時(shí)�,我們立即采取措施保護(hù)用戶數(shù)據(jù),并關(guān)閉了未經(jīng)授權(quán)形式的個(gè)人訪問�����,我們還實(shí)施了安全措施����,限制了對基于云計(jì)算的存儲(chǔ)賬戶的訪問,并加強(qiáng)了控制�。我也很疑惑,為什么公司一年之后才公布該消息���。因此��,我向公司相關(guān)部門提出了幾項(xiàng)處理措施:咨詢了有關(guān)專家�����,指導(dǎo)優(yōu)步公司安全管理團(tuán)隊(duì)工作���;就個(gè)人信息被下載一事�,單獨(dú)向相應(yīng)的優(yōu)步用戶和司機(jī)發(fā)出通知���;通知監(jiān)管部門��;公司正在密切監(jiān)控被竊取賬戶情況。
根據(jù)彭博社報(bào)道�����,優(yōu)步的聯(lián)合創(chuàng)始人�����、前CEO卡蘭尼克在2016年11月��,也就是黑客入侵的一個(gè)月后�,便得知了此事。但目前����,卡蘭尼克本人拒絕就此事置評。
值得注意的是��,優(yōu)步在得知用戶信息遭竊取之后,不僅并沒有對外披露�����,還給黑客交“贖金”�����。
據(jù)彭博社報(bào)道�����,首席安全官喬·沙利文(Joe Sullivan)和一名副手“盡職”地向黑客支付了10萬美元的贖金�����,讓黑客刪除盜竊的信息����。本周,優(yōu)步公司就將這兩人開除���。彭博社上月曾報(bào)道稱�����,優(yōu)步董事會(huì)對沙利文的安全團(tuán)隊(duì)的活動(dòng)進(jìn)行了調(diào)查����。正是在這次調(diào)查中,優(yōu)步才發(fā)現(xiàn)了這次信息泄露以及公司未對外界披露的事實(shí)���。
黑客如何入侵優(yōu)步�?
彭博社報(bào)道中稱����,兩名黑客訪問了優(yōu)步軟件工程師使用的一個(gè)私人GitHub編碼站點(diǎn)�����,然后使用他們在那里獲取的登陸憑證來訪問儲(chǔ)存在亞馬遜云服務(wù)(AWS)賬戶上的數(shù)據(jù)�����,而該賬戶的目的正是為優(yōu)步處理計(jì)算任務(wù)����。而恰恰是在那個(gè)賬戶里面,黑客們發(fā)現(xiàn)了一個(gè)關(guān)于優(yōu)步乘客和司機(jī)的檔案�。優(yōu)步表示�����,黑客給優(yōu)步發(fā)來了電子郵件���,以勒索的方式換取贖金。
▲圖片來源:視覺中國
每日經(jīng)濟(jì)新聞?dòng)浾咦⒁獾?,根?jù)美國各州和聯(lián)邦的法律,當(dāng)敏感的數(shù)據(jù)發(fā)生泄露時(shí)���,公司必須通知數(shù)據(jù)泄露的受害者和政府機(jī)構(gòu)�����。優(yōu)步也表示����,公司有義務(wù)對受害司機(jī)們報(bào)告其車牌信息被盜的消息����,但其并沒有這么做。
自2009年成立以來��,優(yōu)步頻繁涉嫌觸犯法律法規(guī)。彭博社援引知情人士稱�,美國已經(jīng)對優(yōu)步可能涉嫌賄賂、非法軟件����、可疑定價(jià)計(jì)劃以及對競爭對手知識(shí)產(chǎn)權(quán)的盜竊展開了至少五次刑事調(diào)查。此外��,優(yōu)步還面臨著數(shù)十項(xiàng)民事訴訟�。
近年來,越來越多的公司被黑客攻擊�����。其實(shí)�����,與雅虎�、MySpace�、美國第二大零售商塔吉特(Target Corp.)和美國信用機(jī)構(gòu)EquifaxInc等這些公司遭遇黑客入侵的規(guī)模相比,優(yōu)步此次的重大安全漏洞簡直不值一提(今年9月初����,美國三大信用評級機(jī)構(gòu)之一的Equifax公司宣布其遭遇黑客入侵,大約1.43億名美國用戶數(shù)據(jù)泄露)���。但令人擔(dān)憂的是����,優(yōu)步在得知司機(jī)和乘客的個(gè)人信息被盜后并非采取積極的彌補(bǔ)措施,而是支付贖金掩蓋此事�。
每經(jīng)記者 蔡鼎
每經(jīng)編輯 王嘉琦
