旧金山-黑客窃取了Uber Technologies Inc.的5700万客户和驱动程序的个人数据,该公司隐瞒了一年多的重大漏洞。
上周,这家叫车公司将其首席安全官和他的一名代理人罢免,原因是他们一直在保护黑客行为,其中包括向攻击者支付了100,000美元。
该公司周二表示,2016年10月攻击的受损数据包括全球5000万名Uber骑手的姓名,电子邮件地址和电话号码。还访问了大约700万驾驶员的个人信息,包括大约60万个美国驾驶执照号码。优步表示,未获取社会安全号码,信用卡信息,旅行地点详细信息或其他数据。
在事件发生时,Uber正在与美国监管机构进行谈判,以调查有关侵犯隐私权的单独声明。优步现在说,它有法律义务向监管机构和持有驾照号码的驾驶员报告黑客入侵。取而代之的是,该公司向黑客支付了删除数据的费用,并使漏洞保持安静。优步表示,它相信该信息从未被使用过,但拒绝透露攻击者的身份。
“这一切都没有发生,我不会为此找借口,” 9月接任首席执行官的达拉·科斯罗萨西(Dara Khosrowshahi)在一封电子邮件中表示。“我们正在改变开展业务的方式。”
在优步周二披露后,纽约总检察长埃里克·施耐德曼(Eric Schneiderman)对其黑客进行了调查,他的发言人艾米·斯皮塔尼克(Amy Spitalnick)说。该公司还因寻求集体诉讼身份的客户而被起诉,以疏忽其违反行为。
近年来,黑客已成功渗透到众多公司。雅虎,MySpace,Target Corp.,Anthem Inc.和Equifax Inc.的人员相比,Uber的漏洞虽然严重,但相形见war。
更令人震惊的是,Uber为掩盖袭击采取的极端措施。
卡兰尼克争议
这次违规行为是霍斯罗萨西(Khosrowshahi)从他的前任特拉维斯·卡兰尼克(Travis Kalanick)继承的最新丑闻。
该公司表示,Uber联合创始人兼前首席执行官Kalanick于2016年11月(即黑客入侵发生一个月后)获悉。Uber刚刚就数据安全披露问题与纽约州总检察长达成和解,并且正在与联邦贸易委员会就处理消费者数据进行谈判。Kalanick拒绝对此黑客发表评论。
一位发言人告诉彭博社,即将离任的安全负责人乔·沙利文(Joe Sullivan)率先对去年的黑客事件做出了回应。沙利文曾是联邦检察官,曾于2015年从Facebook Inc.加入优步,他一直是今年许多决定的重心。彭博社上个月报道说,董事会已委托对Sullivans安全团队的活动进行调查。Uber说,这个项目是由一家外部律师事务所进行的,发现了该漏洞并没有披露。
以下是骇客入侵的方式:两名攻击者访问了Uber软件工程师使用的私有GitHub编码站点,然后使用他们从那里获得的登录凭证来访问存储在处理该公司计算任务的Amazon Web Services帐户中的数据。黑客从那里发现了驾驶员和驾驶员信息档案。该公司称,后来他们通过电子邮件向Uber索要钱。
州和联邦法律错落有致,要求公司在发生敏感数据泄露时提醒人员和政府机构。优步说,它有义务举报黑客入侵驾驶证信息,但没有这样做。
Khosrowshahi说:“在事件发生时,我们立即采取措施保护数据安全,并关闭个人的进一步未经授权的访问。”“我们还实施了安全措施,以限制访问并加强对基于云的存储帐户的控制。”
繁琐的规定
自2009年成立以来,Uber一直在其运营地区违反规章制度而赢得声誉。知情人士说,美国已对可能的贿赂,非法软件,可疑的定价方案以及竞争对手知识产权被盗采取了至少五项刑事调查。这家位于旧金山的公司还面临着数十起民事诉讼。伦敦和其他政府已采取措施禁止该服务,理由是他们说优步的行为是鲁re的。
2016年1月,纽约总检察长因未能及时披露2014年早些时候的数据泄露事件而对Uber罚款20,000美元。优步表示,在经历了去年的网络攻击之后,该公司正与FTC协商一项隐私解决方案,尽管它与黑客就遏制该漏洞进行了讨价还价。该公司终于在三个月前同意了FTC的和解协议,没有承认有不当行为,也没有向该机构通报去年的袭击事件。
新任首席执行官表示,他的目标是改变Uber的方式。优步表示,它于周二首次向纽约总检察长和FTC通报了2016年10月的黑客攻击。Khosrowshahi要求Sullivan辞职,并解雇了向Sullivan汇报的高级律师Craig Clark。这些人没有立即回应置评请求。
Khosrowshahi在电子邮件声明中说:“尽管我无法抹掉过去,但我可以代表每位优步员工做出承诺,我们将从错误中汲取教训。”
该公司表示,调查发现,即将离任的首席法律官Salle Yoo并未被告知有关此事件的信息,她因对其他事项的回应而受到严格审查。她的继任者托尼·韦斯特(Tony West)将于周三在优步开始,并已收到有关网络攻击的简报。
在投资者的压力下,卡兰尼克(Kalanick)于6月份被罢免为首席执行官,后者说他将公司置于法律风险之下。他仍然是董事会成员,最近填补了他所控制的两个席位。
优步表示已聘请了国家安全局前总顾问兼国家反恐中心主任马特·奥尔森(Matt Olsen)担任顾问。他将帮助公司重组其安全团队。Uber雇用了FireEye Inc.旗下的网络安全公司Mandiant来调查这种黑客行为。
该公司计划向客户发布声明,称“没有发现与事件相关的欺诈或滥用证据”。优步表示,它将为免费驾照保护监控和身份盗窃保护提供许可证遭到破坏的驾驶员。
在埃里克·拉森(Erik Larson)的协助下
