Uber 支付1.48億美元和解金,就資料洩露事件達成和解

Editor發表於2018-09-28
事件

Uber被黑客盜取5700萬使用者資訊 付10萬美元封口費


2017年11月22日,優步(Uber)新任執行長Dara Khosrowshahi表示,2016年10月,全球共有5700萬名乘客的個人資料遭黑客盜取,大約700萬名Uber司機的個人資訊也被盜取,包括60萬美國司機的駕照資訊也同時被盜取,涉及到姓名、電子郵件地址和電話號碼等資訊。Uber稱,社保賬號、信用卡資訊細節、出行位置資訊或其它資料並未洩露。


Uber後來表示,公司有法律義務向監管部門和牌照號碼被盜取的司機,報告這一黑客入侵事件。當時優步並未公佈這一資料洩露事件,而是向黑客支付了10萬美元的“封口費”,要求刪除洩露的資料,並將這一事件保密。



事後處理


2017年11月21日,Uber在宣告中稱:


事發後,公司立即採取措施確保資料安全,並停止了個人未經授權的訪問。我們立刻確認了黑客身份,並獲得了其下載的資料已經被破壞的保證。我們還採取了安全措施。


Uber解僱了公司的首席安全官Joe Sullivan及其副手,原因是他們在隱瞞資料洩露事件中起到了主要作用。

Uber 支付1.48億美元和解金,就資料洩露事件達成和解

Uber接受了紐約總檢察長Eric Schneiderman的調查,作為當時和解的一部分,被要求給乘客的地理資料加密,並採用一個多重認證系統,來確認乘客資訊訪問者的身份,並採取一些其他的標準安全措施,保護消費者的隱私,Uber還同意為資料洩露一事支付2萬美元罰款。(儘管這筆罰款對這家科技巨頭而言只是九牛一毛,但這位總檢察長提出的安全要求才是真正的指責。)


事件影響


2017下半年爆出的Uber資料洩露事件在當時尚未造成惡劣影響。


Uber稱,黑客似乎並未竊取使用者的位置歷史記錄、信用卡號、銀行卡號、社保號碼和出生日期。此外Uber承諾,受影響的司機將獲得免費的信貸監控和身份盜竊保護。


英國金融時報援引知情人士稱,Uber在受黑客事件影響的賬戶上沒有觀察到異常活動。


但這並不意味這Uber的麻煩就此終結。


2017年11月22日,據美國主流媒體訊息,Uber在洛杉磯集體訴訟中因資料遭洩露被起訴。英國金融時報認為,Uber未及時披露事件和向黑客支付“贖金”的行為可能導致公司遇到一些法律上的“麻煩”。



Uber就資料洩露事件達成和解:支付1.48億美元和解金


2018年9月26日,據美國加州檢察長辦公室官方網站訊息,加州總檢察長Xavier Becerra和舊金山地區檢察官George Gascon宣佈與Uber達成1.48億美元的和解協議,以解決Uber違反資料洩露報告和資料安全法律的指控。


此次和解,不僅僅是Uber與加州之間,而是與美國50個州及華盛頓特區。Uber計劃在明年進行IPO(首次公開招股),在此之前需要解決高風險的法律問題。


路透社稱,此次Uber需要支付的1.48億美元,是與檢察部門就隱私問題達成的和解中,和解金額最大的一次。此前,Target公司就4100萬人的資訊被盜與美國多州達成和解,金額為1850萬美元。


“Uber決定掩蓋這一違規行為,有悖於公眾的信任。”加州總檢察長Xavier Becerra說。


加州檢察長辦公室介紹,這項和解協議是在加州對Uber的行為進行獨立調查後作出。調查期為10個月。


調查顯示,Uber未能通知超過17.4萬名加州的司機資料洩露事件,洩露的資訊包括司機的名字、駕駛證號碼等。Uber沒有根據法律要求通知司機,而是掩蓋了違規行為,並向黑客支付了10萬美元以換取黑客刪除資料並保持沉默。


值得注意的是,除了1.48億美元的民事處罰,此次和解協議,加州檢察部門還對Uber提出了多項要求。


其中包括,與CEO和董事會一起制定實施和維護全面的資訊保安計劃;每季度向州政府報告資料安全事件,為期兩年;維持企業誠信計劃,設定舉報不當行為的熱線,並向董事會提交季度報告,實施和完善隱私規則,進行行為規範年度培訓。


在加州檢察長辦公室做出決定後,9月26日,Uber的首席法律官Tony West釋出公開信稱,很高興與50個州及華盛頓特區的總檢察長達成協議。


Tony West稱,這項和解協議是Uber內部為重塑公司形象而做出的努力的一部分。Tony West介紹,公司最近還聘請了一位首席隱私官和一名首席信任和安全官。



Uber 重塑新形象 展望新未來


值得注意的是,Uber在9月26日還宣佈,將在未來投入1000萬美元,以支援其所提供服務的城市的環保事業,其中包括100萬美元用於促進解決紐約市的擁堵。Uber還將向非營利性共享專案捐贈25萬美元,並在Sacramento安裝電動自行車共享充電樁,在未來將擴充套件至其他城市。



Uber 資料洩露事件帶來的思考


Uber 在去年十一月還被爆過另一件醜聞,Uber被美國科羅拉多州監管部門重罰890萬美元,原因是涉嫌聘請多名不符合資格的司機。訊息指,Uber在“過去一年”聘請了57名問題司機,其中12人有嚴重犯罪紀錄,17人曾有重大交通違規紀錄,更有司機因醉駕問題被吊銷駕照,受聘後在沒有相關證件的情況下開車。


在國內,隨著今天的兩起滴滴司機姦殺女乘客事件,媒體也隨之爆出了滴滴內部的其他問題,比如滴滴裡存在大量不合格司機,通過各種僥倖手段拿到”資質”。無論從滴滴內部的監管還是法律的監督,都值得我們再思考。


正如檢察官George Gascon說:


“我們支援創新商業模式的發展,但新的商業模式不能以犧牲公共安全和使用者隱私為代價。”


Uber資料洩露事件進入尾聲,但我們對公共安全和個人隱私的思考才剛剛開始。



參考來源:

  • 鳳凰網科技
  • 搜狐
  • 澎湃新聞



- End -





更多閱讀:


1、[原創]小白文——好玩不貴的無線遙控器克隆指南


2、[翻譯]核心模式Rootkits:檔案刪除保護


3、[翻譯]國外2018最新區塊鏈教程英文版,大膽翻譯,助力論壇『區塊鏈安全』開設第四棒!


4、[原創]看雪安全峰會—《從WPA2四次握手看KRACK金鑰重灌攻擊》


5、[原創]2018看雪CTF第十五題WP


相關文章