本報訊
美國智能手機應用程式召車服務Uber近年席捲全球,惟該公司卻掩蓋了一宗去年發生的大規模資料泄漏事件。事件中,黑客從Uber盜取了5,700萬名司機和乘客的個人資料,Uber當時並未公布這一資料泄露事件,而是向黑客支付了10萬美元以換取對方刪除泄漏的資料,並將事件保密。本周Uber開除了當時掩蓋這一黑客入侵事件的首席安全總監沙利文(Joe Sullivan)以及他的一位副手。
黑客攻擊事件發生在2016年10月,Uber於21日表示,事件導致全球5,000萬名Uber乘客的姓名、電郵地址和手機號碼資料泄漏。據彭博社報道,另有大約700萬名Uber司機的個人資訊也被盜取,當中包括60萬名美國司機的牌照號碼。Uber稱,社保賬號、信用卡資訊細節、出行位置資訊或其他資料並未外泄。
乘客及司機個人資料外泄發生時,Uber正與美國監管部門就另外一宗違反私隱指控進行磋商。Uber現時表示,公司有法律義務向監管部門和牌照號碼被盜取的司機,報告遭黑客入侵之事。然而,Uber當時卻向黑客支付了10萬美元,要求刪除泄漏的資料,並將這一事件保密。
聲稱外泄資料未遭濫用
Uber表示,公司相信這些外泄資訊從未被人使用過,但拒絕披露攻擊者的身分。「這一切本不該發生,我不會為此找借口。」Uber新任CEO科斯羅薩西(Dara Khosrowshahi)在一份郵件聲明中表示,「我們正在改變我們的做事方式」。
科斯羅薩西稱,當黑客事件發生時, Uber立即採取措施保護資料安全,「我們還採取安全措施,限制了我們的雲端儲存帳號的訪問權限並加強控制」。
Uber稱,公司在21日首次向紐約司法部長和美國聯邦貿易委員會(FTC)報告黑客入侵事件。
科斯羅薩西並要求沙利文辭職,及解僱了向沙利文報告的高級律師克拉克(Craig Clark)。Uber又指經調查後發現,即將離職的首席法務主任薩莉劉(Salle Yoo)並未被告知這一事件,她的接任人韋斯特(Tony West)將於22日履新,已經被通報了這一網絡攻擊事件。
「儘管我們不能抹掉過去,但是我能代表每一位Uber員工承諾:我們將從過去的錯誤中汲取教訓。」科斯羅薩西稱。
Uber稱,已聘請美國國家安全局前法律總顧問、國家反恐中心前主任奧爾森(Matt Olsen)擔任顧問,協助公司重組安全團隊。Uber還聘請網絡安全公司Mandiant調查攻擊事件。該公司計劃向用戶發佈一份聲明,表示沒有證據顯示與這宗a黑客事件相關的資料,被用於欺詐或遭到濫用。Uber將向那些牌照號碼被盜的司機,提供免費信用保護監控和身分盜竊保護。
