纸包得住火吗?向黑客支付10万美元“封口费”的Uber与5700万用户的泄漏信息

Uber 成立于 2009 年,一家身价超 690 亿的创业企业。但自近年一系列涉及残酷商业策略、冷漠企业文化等方面的负面新闻缠身之后,这只独角兽的光芒黯淡,从高塔上跌入困境,人们已经不知不觉将 Uber 的名字与丑闻联系在了一起…

这一次,这家共享出行企业所卷入的事件,不仅仅是一场涉及 5,700 万用户隐私信息的黑客入侵事件,还可能是一次企业违背信息披露的原则、向黑客支付赎金、掩盖事实的事件。

在11月21日(本周二)的时候,Uber 新任 CEO Dara Khosrowshahi 发出一则通告,黑客在 2016 年 10 月的时候,窃取了 60 万 名 Uber 司机的包括用户姓名驾驶证件在内的个人信息,以及 5700 万 Uber 乘客的包含姓名邮箱个人住址以及联系电话在内的隐私信息。同时,在通告中 Uber 表示,还没有证据表明黑客获取到了用户的位置信息支付信息社会安全号码

根据最先报道此则数据泄漏事件的彭博社处,我们可以了解到 Uber 实际上在这起泄漏事件发生之后向黑客方面支付了 100,000 美元的赎金,Uber方面希望黑客能够事件保持缄默,并要求黑客删除窃取的数据

与此同时,Uber 在过去的一年里,没有向可能遭到波及的用户和公众进行事件信息的及时披露,并且在美国联邦贸易委员会面前,他们也试图掩盖错误、粉饰事实,将这起大型数据泄漏事件隐藏起来。

如果 Uber 在接受联邦贸易委员会(FTC)调查的时候,是明确事实情况而选择避而不谈的话,Uber 方面实际上是需要承担潜在的刑事责任的。——明尼苏达大学法学院 Williams McGeveran 教授


Uber 与黑客的秘密交易

在另一则来自新任 CEO 的消息中,我们可以发现 Uber 当时怀疑有两名黑客参与了黑客行动。

而从彭博社的报道来看,Uber 在事件发生之后就支付给这两名黑客共计 100,000 美元的“封口费”,并要求黑客们彻底删除这些泄漏的数据。但在 Uber 的官方通知中没有提到任何涉及支付赎金的信息,而只是表示,

我们随后追踪到了黑客的行动,并从黑客那里获得了彻底删除数据的保证

彭博社报道中还提到,Uber 在事件发生之后要求其首席安全官 John Sullivan 辞职,和他一起离开的还有这名 CSO 的高级法律顾问。

然而在事件发生的一年之后,2016 Uber 数据泄漏事件的真相最终还是公布于世。目前,纽约州总检察长也开始重新调查 Uber 处理黑客泄漏数据事件的处理方式。

2016 年黑客事件发生的时候

根据彭博社的报道,Uber 这起 2016 数据泄漏事件的根源,在于开发者在某个人账号的 GitHub 代码库中上传了一份包含用户名密码的代码文件。黑客发现了这份文件,得到了开发者的身份凭证之后,他们就相当于获得了进入 Uber 网络的开发者账权限,然后黑客们就顺藤摸瓜地得到了在 Amazon 云服务上的 Uber 服务器中的敏感信息内容(司机和乘客的信息)。

实际上,开发者在 Github上泄漏自己的凭证这种错误并不少见,缺乏安全意识的程序员经常在代码中写入自己的身份信息,以便自动连接相关服务,却忘记限制这种权限。

安全企业 SentinelOne 的首席安全战略研究员 Jeremiah Grossman如此评价道,

我觉得开发者在 GitHub 上犯出这种错误太常见了,我惊讶的是 Uber 在事件发生之后所做的掩饰。每个人都会犯错,企业对这些错误进行的回应,才让这次的事件变得如此糟糕。

受害者范围

此次事件中受到波及的账户数量达到 5700 万,实际上覆盖的绝大部分的用户。该公司在事件发生之后没有通知相关用户,而只是在通告中表示,

目前没有证据表明存在任何利用 Uber 泄漏的信息进行欺诈或假冒身份的事件。

官方表示受到影响的账户会有额外的保护措施。而对于在泄漏事件中受到波及的这 600,000 位司机,Uber 表示已经联系上了这些司机,并为他们提供了信用监控和防盗保护服务。

事件的严重性

这件事最终会有多严重呢?大规模的乘客数据泄漏会导致网络钓鱼、身份窃取等后续一系列事件。而司机方面的敏感信息则很可能导致更多的网络诈骗活动。相关专家表示,Uber 此次的事件不只是普通的数据泄漏,这样长达一年的隐藏事实很有可能遭到最严重和直接的后果。

目前Uber已经开除了其 CSO Joe Sullivan,这位安全官此前在联邦检察院和 Facebook 担任过安全职务。此外,Uber 还将会在多个州遭到巨额罚款。如果联邦贸易委员会(FTC)将 Uber 掩盖事实的行为被追究成“欺诈罪名”,就是在正式的调查环节中作出伪证,还会招致更多的处罚

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-11-22

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏大数据文摘

专访“新世界黑客组织”成员Kapustkiy

1826
来自专栏FreeBuf

请随时准备好,大规模网络攻击随时到来

别说我没提醒各位啊!就在这个月月初,美国联邦调查局当时还专门给全球各大银行发布了一条警告,大致内容是“网络犯罪分子正在计划对全球范围内的ATM机进行一次大规模网...

992
来自专栏空帆船w

印象笔记终于支持 Markdown 了

2018 年 8 月 3 日,印象笔记举办六周年庆祝活动,印象笔记官方现场展示了新版 App,新增专为中国用户开发的 Markdown 、电脑端密码锁、Widg...

3322
来自专栏FreeBuf

电脑、手机都断网了,还会被黑客入侵吗?

无论是电脑、智能手机、或者是其他的可联网设备,只要连了网络,就意味着已经暴露在安全威胁之中了。尤其是最近几年,间谍技术和各类间谍工具发展迅速,导致黑客组织、情报...

3407
来自专栏程序员宝库

苹果前华人工程师涉窃密机场被捕,小鹏汽车回应;FB被罚50万英镑;ARM和RISC-V开撕;npm参与定制JS标准

7 月 7 日,一名曾在苹果自动驾驶汽车项目工作的员工在加州圣何塞机场准备登机飞往中国时,被美国联邦调查局(FBI)的执法人员逮捕。据知情人士称,这位名为 Xi...

1455
来自专栏FreeBuf

特别企划 | 勒索界面进化史:聊聊勒索软件中运用的心理学机制

如果说有哪个词汇能同时让终端用户、安全专家以及企业信息主管感到恐惧,它可能就是——勒索软件。 安全圈内早已听说过 Archievus、Reveton、Crypt...

2456
来自专栏量子位

史上最严重数据车祸:100+车厂机密全曝光,通用丰田特斯拉统统中招

100多家车厂,从通用汽车、菲亚特克莱斯勒、福特、丰田,大众到特斯拉,现在机密数据统统被供应商的共同服务器曝光。

860

诈骗者在网上偷你钱的10种方式

从互联网诞生开始,网络犯罪一直是骗子利润丰厚的生意。尽管我们在安全性方面取得了进步,例如生物识别技术,以及如区块链之类的更有希望的安全技术成为趋势,但是道高一尺...

1080
来自专栏北京马哥教育

漫画告诉你什么是DDoS攻击?

根据《2015 H1绿盟科技DDoS威胁报告》指出,如今大流量网络攻击正逐渐呈现增长趋势,前不久锤子科技的发布会以及9月12日苹果官网宕机的案例就印证了这一点。...

38111
来自专栏企鹅号快讯

黑客展示如何攻击飞机和汽车

1997年,知名黑客杰夫·莫斯创立了黑帽子大会,历经17年的发展,黑帽大会已经成为信息安全领域的风向标,每年黑帽大会讨论的安全议题大都成为了未来的趋势和方向。 ...

22110

扫码关注云+社区

领取腾讯云代金券