賠了夫人又折兵，Uber 被罰300多萬

2017年11月22日，Uber（優步）新任執行長Dara Khosrowshahi表示，2016年10月，全球共有5700萬名乘客的個人資料遭黑客盜取，大約700萬名Uber司機的個人資訊也被盜取，涉及到姓名、電子郵件地址和電話號碼等資訊。Uber稱，社保賬號、信用卡資訊細節、出行位置資訊或其它資料並未洩露。

當時Uber並未公佈這一資料洩露事件，而是向黑客支付了10萬美元的“封口費”，要求刪除洩露的資料，並將這一事件保密。

據《紐約時報》披露，這 10 萬美元是 Uber 作為“漏洞賞金”給予黑客的。雖然科技公司向發現該公司系統漏洞的“白帽子”（可以理解為不做壞事的黑客）支付賞金的做法非常普遍。

但區分“白帽子”與黑客的一個很簡單的標準是，白帽子不會在發現漏洞後先自行下載洩露資訊，再拿著資訊去要挾公司“給我 6 位數的賞金我就刪除”。這種行為完全是勒索。

Uber聯合創始人，卡蘭尼克本人批准了這筆 10 萬美元的贖金，更有意思的是，Uber 還曾試圖向該黑客提供一次全額報銷的舊金山之旅（舊金山是 Uber 所在地），想請對方來討論安全技術，並答應要將他介紹給對他技術感興趣的公司。但被該黑客拒絕。

2018年9月26日，加州總檢察長Xavier Becerra和舊金山地區檢察官George Gascon宣佈與Uber達成1.48億美元的和解協議（戳藍字可閱讀），以解決Uber違反資料洩露報告和資料安全法律的指控。

當地時間11月27日，英國政府網路安全監管機構資訊專員辦公室(ICO) 表示，Uber這一做法是對使用者和優步司機資訊保安性的漠視。

ICO將這次的黑客行為定義為“嚴重違法行為”。英國對其罰款 38. 5 萬英鎊（約 49. 1 萬美元）。

英美兩國對Uber的處罰數額相差如此之大，主要是因為英國監管機構是基於1998年資料保護法案來調查此次事件，該法律僅允許最高罰款金額為50萬英鎊。

而最新的歐盟法律則允許監管部門對公司處以高達2000萬歐元或者相當於利潤百分之四的罰金，這適用於2018年5月後發生的新案件。

目前，ICO正在對案件進行進一步的調查。並指出，已經在Uber的系統中發現了一系列可獲得資料的安全漏洞，黑客從一個Uber運營的雲儲存系統中可以下載數以百萬計的客戶的敏感資訊。

ICO已掌握2016年10月和11月被攻擊的犯罪事實。

Uber 在隨後發表宣告稱，很高興 2016 年的資料洩露事件終於審理結束。並表示，自 2016 年以來，該公司已經改善了資料管理條例，並在今年聘請了第一位首席隱私官和資料保護官。

參考來源：

• 好奇心研究所
  
• 鳳凰網科技
  

- End -

更多資訊：

1、谷歌刪除13個偽裝成遊戲的惡意軟體 下載量已達56萬次

2、杭州1300萬多人資訊遭洩露 出賣源頭是房產銷售物業

3、45個習慣讓你火力全開！

4、JavaScript庫遭入侵，小心Copay錢包中的錢不翼而飛