纸包得住火吗？向黑客支付10万美元“封口费”的Uber与5700万用户的泄漏信息

Uber 成立于 2009 年，一家身价超 690 亿的创业企业。但自近年一系列涉及残酷商业策略、冷漠企业文化等方面的负面新闻缠身之后，这只独角兽的光芒黯淡，从高塔上跌入困境，人们已经不知不觉将 Uber 的名字与丑闻联系在了一起…

这一次，这家共享出行企业所卷入的事件，不仅仅是一场涉及 5,700 万用户隐私信息的黑客入侵事件，还可能是一次企业违背信息披露的原则、向黑客支付赎金、掩盖事实的事件。

在11月21日（本周二）的时候，Uber 新任 CEO Dara Khosrowshahi 发出一则通告，黑客在 2016 年 10 月的时候，窃取了 60 万 名 Uber 司机的包括用户姓名、驾驶证件在内的个人信息，以及 5700 万 Uber 乘客的包含姓名、邮箱、个人住址以及联系电话在内的隐私信息。同时，在通告中 Uber 表示，还没有证据表明黑客获取到了用户的位置信息，支付信息或社会安全号码。

根据最先报道此则数据泄漏事件的彭博社处，我们可以了解到 Uber 实际上在这起泄漏事件发生之后向黑客方面支付了 100,000 美元的赎金，Uber方面希望黑客能够事件保持缄默，并要求黑客删除窃取的数据。

与此同时，Uber 在过去的一年里，没有向可能遭到波及的用户和公众进行事件信息的及时披露，并且在美国联邦贸易委员会面前，他们也试图掩盖错误、粉饰事实，将这起大型数据泄漏事件隐藏起来。

如果 Uber 在接受联邦贸易委员会（FTC）调查的时候，是明确事实情况而选择避而不谈的话，Uber 方面实际上是需要承担潜在的刑事责任的。——明尼苏达大学法学院 Williams McGeveran 教授

Uber 与黑客的秘密交易

在另一则来自新任 CEO 的消息中，我们可以发现 Uber 当时怀疑有两名黑客参与了黑客行动。

而从彭博社的报道来看，Uber 在事件发生之后就支付给这两名黑客共计 100,000 美元的“封口费”，并要求黑客们彻底删除这些泄漏的数据。但在 Uber 的官方通知中没有提到任何涉及支付赎金的信息，而只是表示，

我们随后追踪到了黑客的行动，并从黑客那里获得了彻底删除数据的保证。

彭博社报道中还提到，Uber 在事件发生之后要求其首席安全官 John Sullivan 辞职，和他一起离开的还有这名 CSO 的高级法律顾问。

然而在事件发生的一年之后，2016 Uber 数据泄漏事件的真相最终还是公布于世。目前，纽约州总检察长也开始重新调查 Uber 处理黑客泄漏数据事件的处理方式。

2016 年黑客事件发生的时候

根据彭博社的报道，Uber 这起 2016 数据泄漏事件的根源，在于开发者在某个人账号的 GitHub 代码库中上传了一份包含用户名和密码的代码文件。黑客发现了这份文件，得到了开发者的身份凭证之后，他们就相当于获得了进入 Uber 网络的开发者账权限，然后黑客们就顺藤摸瓜地得到了在 Amazon 云服务上的 Uber 服务器中的敏感信息内容（司机和乘客的信息）。

实际上，开发者在 Github上泄漏自己的凭证这种错误并不少见，缺乏安全意识的程序员经常在代码中写入自己的身份信息，以便自动连接相关服务，却忘记限制这种权限。

安全企业 SentinelOne 的首席安全战略研究员 Jeremiah Grossman如此评价道，

我觉得开发者在 GitHub 上犯出这种错误太常见了，我惊讶的是 Uber 在事件发生之后所做的掩饰。每个人都会犯错，企业对这些错误进行的回应，才让这次的事件变得如此糟糕。

受害者范围

此次事件中受到波及的账户数量达到 5700 万，实际上覆盖的绝大部分的用户。该公司在事件发生之后没有通知相关用户，而只是在通告中表示，

目前没有证据表明存在任何利用 Uber 泄漏的信息进行欺诈或假冒身份的事件。

官方表示受到影响的账户会有额外的保护措施。而对于在泄漏事件中受到波及的这 600,000 位司机，Uber 表示已经联系上了这些司机，并为他们提供了信用监控和防盗保护服务。

事件的严重性

这件事最终会有多严重呢？大规模的乘客数据泄漏会导致网络钓鱼、身份窃取等后续一系列事件。而司机方面的敏感信息则很可能导致更多的网络诈骗活动。相关专家表示，Uber 此次的事件不只是普通的数据泄漏，这样长达一年的隐藏事实很有可能遭到最严重和直接的后果。

目前Uber已经开除了其 CSO Joe Sullivan，这位安全官此前在联邦检察院和 Facebook 担任过安全职务。此外，Uber 还将会在多个州遭到巨额罚款。如果联邦贸易委员会（FTC）将 Uber 掩盖事实的行为被追究成“欺诈罪名”，就是在正式的调查环节中作出伪证，还会招致更多的处罚。