Uber遭駭5700萬個資外洩 為隱瞞消息支付駭客10萬美元封口費

2017年11月22日 16:04 風傳媒

網路叫車業者「優步」(Uber)21日坦承,資料庫遭到駭客入侵,造成5700萬名乘客和駕駛資料外洩。《BBC》報導,Uber為了隱瞞此事甚至還支付駭客10萬美元(約合新台幣302萬元)以刪除被駭的資料及作為封口費。為了負責,Uber已解僱首席安全長沙利文(Joe Sullivan)及其副手克拉克(Craig Clark)。這並非Uber資料庫第一次遭駭,2014年5月Uber也曾遭駭客入侵,導致5萬名司機資料外洩,但當時Uber選擇不披露資安資訊,而在今年1月被罰款2萬美金(約合新台幣60萬元)。

開創「共享經濟」龍頭之一的Uber以開發行動App連結乘客和司機,提供車輛租賃及共乘服務,業務範圍擴及全球。Uber官方指出,此次資料外洩事件導致全球約5700萬用戶的帳戶姓名、電郵信箱帳號和手機號碼被竊取,「但經外部鑑識專家的鑑定,行程地點記錄、信用卡卡號、銀行帳號、社會安全碼和出生日期等資料則未外洩」。在這些資料中,包括60萬名合作駕駛的姓名及駕照資料被曝光。對此,Uber將免費提供合作駕駛信用監控及身份竊盜保護,但對受影響的乘客,Uber尚未提出相關保護措施。

倫敦交通局9月決定,不更新Uber執照。倫敦議會保守黨發佈調查報告指出,Uber若真退出倫敦,倫敦人一年多花36億計程車費。(美聯社)
「優步」(Uber)資料庫遭駭,5700萬帳戶資料數據恐有洩漏隱憂。(美聯社)

 

 

上任就遇大難題  新任CEO:「我們絕不推卸責任...將從錯誤中學習!」

今年8月才剛上任的Uber首席執行長(CEO)科斯羅沙西(Dara Khosrowshahi)曾帶領線上旅遊公司智遊網(Expedia)走過低谷,登頂成為美國排名第一及全球最大的線上旅游公司。在Uber前任首席執行長辭職後,他便臨危受命接管公司,卻沒想到才剛接任不到半年,就得著手處理如此嚴重的資安事件。

科斯羅沙西在聲明中表示,事件發生時,Uber已著手相關防護措施「我們之後也確認了受害用戶名單,並已確定被非法擷取的數據已被銷毀」。他也表示,Uber已加強對雲端存儲賬戶的控制,並限制用戶資料訪問。「這種事不該發生,但我們絕不推卸責任」科斯羅沙西寫道「我無法改變過去,但我能保證Uber全體人員將從此次的錯誤中學習!」。他表示,Uber目前正在改變其營業管理模式,把誠信作為執行決策時的核心標準,努力爭取客戶的信賴。

Uber創始人卡蘭尼克知情卻隱瞞事實

2016年10月,兩名駭客入侵了Uber軟件工程師所使用的私人編碼網站GitHub,並使用在GitHub取得的登錄憑證,前往Uber儲存在亞馬遜雲端服務平台(Amazon Web Services,AWS)中的資料數據庫,並從中竊取乘客及合作司機的相關資料。 之後再以電子郵件向Uber勒索。

《彭博社》報導,其實早在去年11月,即事件發生後的一個月,Uber聯合創始人兼前任首席執行長卡蘭尼克(Travis Kalanick)就已知悉此事,但卻選擇隱瞞。卡蘭尼克因治理無方,導致公司陷入醜聞及危機,因此在五大股東的壓力下於今年6月21日宣布辭職。

Uber的執行長卡蘭尼克。(取自維基百科)
Uber的執行長卡蘭尼克。(取自維基百科)

因駭客事件而遭到遭解僱的首席安全長(CSO,Chief Security Officer)沙利文(Joe Sullivan)曾任職臉書。2014年的資安事件之後,沙利文在2015年被Uber挖角,成為Uber歷年來第一位CSO。由於今年保安部門的績效不佳,重挫Uber形象與業務,因此董事會便委託外部律師事務所對該部門進行了調查,卻意外讓這起嚴重的資安事件曝光。

Uber表示,目前已聘請美國國家安全局( National Security Agency)前任總顧問、現任美國國家反恐中心( National Counterterrorism Center)主任奧爾森(Matt Olsen)擔任顧問,以協助公司重組其安全團隊。此外, Uber也聘請美國麥迪安網路安全公司(Mandiant)著手調查這起駭客事件。

風波不斷重挫公司形象

根據美國州法律與聯邦法律,企業在面對數據洩露事件時有義務提醒大眾及政府機構。Uber連續發生同性質缺失,已造成誠信問題,嚴重影響了公司信譽。過去一年以來,Uber捲入了一系列醜聞及爭議,包括開發違法軟體「灰球(Greyball)」避開試圖取締旗下司機的警察,逃避監管機構監控,旗下無人車發生撞車事故、女員工遭到騷擾事件、被Google旗下自駕車公司Waymo控告竊取機密等。因此,在科斯羅沙西接任首席執行長後,Uber致力提升公司形象。然而,這次資安事件對Uber而言又是再ㄧ次的重擊。

加入Line好友

【我要發風】

風傳媒歡迎各界分享發聲,來稿請寄至 opinion@stormmediagroup.com,並請附上姓名、聯絡方式、自我簡介,謝謝!

我想再看到這個主題