向駭客付“封口費”!優步承認瞞5700萬用戶數據遭竊
【環球時報駐美國特約記者 鄭香君 環球時報特約記者 汪品植】美國網路計程車服務公司優步(Uber)當地時間22日承認,其在2016年10月曾遭全球性駭客攻擊,造成5700萬名客戶和司機的個人數據失竊。但據美國媒體的報道,Uber當時並沒有第一時間通知資訊遭竊的用戶和司機,也沒有向監管部門報案,而是向駭客支付了10萬美元讓其刪除竊取的數據,並隱瞞長達一年,直到美國彭博社等媒體曝光此事。
據英國《衛報》22日報道,剛剛擔任優步首席執行官不久的科斯羅薩西發表聲明,承認報道內容,並稱:“這一切都不應發生,對此我不會去找任何藉口。”據悉,被盜的用戶資訊除了乘客姓名、郵箱和電話號碼之外,還有約60萬名司機的駕照號碼。但諸如信用卡數據和社保號碼等財務資訊並未被盜。優步強調,經網路安全專家確認,駭客已銷毀所有敏感資訊,公司也已向美國監管部門彙報此事件。優步將在未來幾天通知受影響賬戶的所有者,同時宣佈對資訊失竊的個人提供免費支援,包括協助監控信用賬戶、加強防身份盜竊保護等。
時任優步首席安全官沙利文和他的副手克拉克因此遭到公司解雇。沙利文2015年加入該公司,此前曾一度擔任聯邦檢察官,他在應對駭客攻擊中做出了關鍵決定,即隱瞞相關資訊。事發一個月後,優步創始人、前總裁卡拉尼克才獲知此消息。
最早曝光此事的彭博社稱,優步在亞馬遜雲端服務上的賬戶資訊並未加密,這給了駭客可乘之機。按網路安全專家的說法,在亞馬遜雲端存儲未加密資訊的錯誤是“不可原諒的”。也有網路安全專家指出,發現資訊被竊不立即通報用戶和政府,而是想辦法藏著掖著,完全是“業餘的”做法,也根本不可能藏得住。
近年來,美國擁有海量數據的知名企業接連遭駭客攻擊,造成包括雅虎郵箱、社交網站MySpace、個人信用報告公司Equifax等在內數以億計用戶的數據被盜。但這次讓人大跌眼鏡的是優步公司在數據被盜取之後的反應。媒體分析稱,優步掩蓋駭客竊密的行為應承擔什麼樣的法律責任目前還不好說。鋻於美國是判例法國家,目前多家美國法庭都在審理數據失竊案,而這些法庭對案件的具體態度大不相同,有的法官同意用戶聯合起來對企業提出集體訴訟,而有的則要求原告自行證明被泄密的資訊確實遭到濫用造成自己的損失。
這已經不是優步在類似問題上的“初犯”。彭博社稱,2014年優步也曾發生5萬名司機個人資訊遭洩露事件,當時優步公司的代理律師指責是競爭對手所為,但駭客身份一直未得到確認。2016年1月,紐約總檢察長因其未及時披露2014年的數據被竊事件向優步開出兩萬美元罰單,優步雖拒絕承認有違規行為,不過後來接受了罰款。