美國優步Uber大規模個資外洩事件,有駭客竊取約5700萬名使用者的資料、付給駭客10萬美元

Uber坦承去年遭駭 5700萬人個資外洩

美國叫車服務優步(Uber)新執行長今天坦承,公司沒有公布去年一場大規模個資外洩事件,其中有駭客從公司竊取約5700萬名使用者的資料。

路透社報導,Uber執行長柯霍斯洛夏西(DaraKhosrowshahi)說,在發現過去公司如何處理這項事件之後,已將兩名帶頭回應此事的員工革職。

Uber連串危機導致創辦人卡拉尼克(TravisKalanick)6月辭職,柯霍斯洛夏西8月被任命為執行長。

柯霍斯洛夏西說,他最近才得知此事。

Uber承認未能公布資料外洩的同時,Uber正試圖重振旗鼓。

根據Uber說明,有2人從Uber使用的第三方雲端伺服器偷偷下載數據,其中包括世界各地約5700萬名Uber使用者的姓名、電郵地址及手機號碼。

柯霍斯洛夏西在部落格文章中表示,兩人也下載Uber約60萬名美國駕駛的姓名與駕照編號。

柯霍斯洛夏西說,他已經聘用前國家安全局總顧問歐森(Matt Olsen),來協助尋找管理與組織公司資安團隊與程序的最佳方式。

法新社報導,柯霍斯洛夏西說:「不應該發生這些事情,我不會為此找藉口的。」

Uber去年底遭入侵外洩5700萬筆資料,傳安全長支付10萬美元要駭客銷毀資料

Uber周二(11/21)坦承在去年底曾遭駭客入侵,駭客盜走了5700萬名Uber乘客與司機的資料。彭博社(Bloomberg)則報導,當初Uber安全長Joe Sullivan為了掩人耳目,曾支付10萬美元予駭客,要求駭客銷毀資料,事情曝光後,Sullivan已被迫離職。

今年8月底接手Uber執行長的Dara Khosrowshahi表示,他最近才知道有兩名駭客在去年曾存取Uber存放於第三方雲端服務的使用者資料,內含5700萬全球Uber乘客的姓名、電子郵件帳號及行動電話號碼,包括60萬名美國Uber司機的駕照資料。

Khosrowshahi說,當時Uber移除了駭客存取資料的管道,改善了安全措施,並確認駭客已銷毀所盜走的資料,但並不知道去年為何沒有通知受影響的用戶,也未向主管機關報告,因此延攬安全顧問Matt Olsen協助進行調查,在了解事情的始末之後,兩名該負責的人士即日起已離開Uber。

Khosrowshahi並未揭露駭客入侵的管道,也沒公布兩名離職員工的姓名。然而,彭博社則報導Uber安全長Joe Sullivan決定支付駭客10萬美元,要求駭客銷毀所竊取的資料,且不得對外聲張。

根據報導,駭客先是入侵了Uber工程師於GitHub上所建立的私有倉庫,取得Uber於AWS雲端服務的登入帳號,盜走了儲存於AWS上的Uber用戶資料,再向Uber勒索。Sullivan決定支付10萬美元的贖金,且未通報主管機關,包括紐約總檢察長與美國聯邦交易委員會(FTC)都是本周二才知情。

真相大白之後,Uber要求Sullivan離職,也開除了Sullivan底下的資深律師Craig Clark,即日起生效。

2015年加入Uber的Sullivan為Uber的首任安全長,且是在Uber資料外洩事件曝光後、為了加強資安才設立的職缺,先前Sullivan亦曾擔任臉書(Facebook)安全長一職。

Uber付駭客302萬 隱匿5700萬筆個資外洩

美國叫車服務業者優步公司(Uber)今天表示,公司付給駭客10萬美元(約新台幣302萬元),以隱匿去年遭遇大規模侵駭,造成約5700萬筆帳號個資遭竊。

路透社報導,Uber執行長柯霍斯洛夏西(DaraKhosrowshahi)說,在發現公司過去掩蓋這起事件之後,已將兩名負責回應此事的員工革職。柯霍斯洛夏西8月接替Uber共同創辦人卡拉尼克(Travis Kalanick)出任執行長。

柯霍斯洛夏西在部落格發文說:「這種事不該發生,我不會為此找藉口。」這起遇駭事件發生在2016年10月,但柯霍斯洛夏西說,他到最近才得知。

柯霍斯洛夏西說,被竊個資包括全球Uber用戶的姓名、電郵地址和手機號碼,以及美國60萬名Uber駕駛的姓名和駕照號碼。

Uber指出,目前尚未發現詐欺證據,因此Uber乘客無需擔心,同時將提供駕照號碼遭竊的駕駛免費的身分竊盜保護和信用監控服務。

Uber表示,2名駭客取得管道進入儲存在GitHub的專有資料、竊取Uber進入另一家提供雲端服務公司的憑證,從中下載駕駛和乘客的資料。GitHub是一個提供工程師合作編寫軟體程式的服務。

Github發言人表示,這起遇駭事件不是源自GitHub安全問題。

柯霍斯洛夏西說:「雖然我不能改變過去,但我可以代表每一位Uber員工承諾,我們會從過去的錯誤中學習。」

「我們會改變做生意的方式,將操守擺在每個決策的核心,努力贏回客戶的信賴。」

洗心革面?新任執行長自爆Uber黑歷史:10萬美元與駭客交換5,700萬外洩個資

近期努力洗清負面形象的Uber,再度遭受重擊。美國時間11月21日,Uber公布該公司曾於2016年10月遭駭客入侵,竊取5,700萬筆全球乘客與司機的資料,而Uber當時的處理方式,是以10萬美元換取駭客刪除資料的承諾。

資料外洩全球有份,包含5,000萬乘客與700萬司機

Uber向《Bloomberg》透露,2016年個資外洩事件,內容包含全球5000萬名乘客的姓名、電子郵件地址、電話,以及700萬名司機的資料,其中有60萬美國司機的駕照號碼外洩。然而,Uber保證,包括社會安全碼、信用卡資訊和地點資料都沒有外洩疑慮。

「這些都不應該發生,但我責無旁貸,」今年九月甫上任的Uber執行長科斯洛沙希(Dara Khosrowshahi)在郵件聲明中寫到。科斯洛沙希上任後,致力於改變Uber的形象,在Uber遭倫敦政府撤照一案中,,並承諾配合政府,一改Uber長期強硬作風。此次揭露一年多前發生的個資外洩事件,「我們正在改變Uber的作風,」他在聲明中說道。

前執行長卡拉尼克知曉此事

Uber透露,充滿爭議的Uber前執行長卡拉尼克(Travis Kalanick),在個資外洩後一個月就知曉這件事。其中,已離職的首席安全長蘇利文(Joe Sullivan),在事件發生當時,扮演重要角色,Uber董事會也已針對蘇利文及其團隊展開調查。

紐約總檢察官已介入調查Uber的個資外洩事件,Uber也承認有義務向官方呈報此事,但沒有動作。Uber在2014年就曾發生個資外洩事件,當時並未揭露,遭紐約政府罰款2萬美元。Uber此次在事件發生後一年多,決定向紐約總檢察官呈報此事,也同時知會美國國際貿易委員會(FTC),主要因為該單位在不知情的情況下,已與Uber簽下資安條款。

為了解決此次事件,Uber除了開除首席安全長蘇利文及相關部署,同時也聘用前美國國家安全局總顧問Matt Olsen,以及網路資安公司Mandiant展現改變的決心。Uber也將針對「沒有個資遭誤用、導致詐騙」的承諾,發表進一步詳細聲明。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏