5700万乘客信息被盗 优步或因瞒报负刑责

21世纪经济报道 2017-11-22 17:30+-

  当地时间11月22日,优步(Uber)新任首席执行官达拉·科斯罗沙西(Dara Khosrowshahi)表示,2016年10月,全球共有5700万名乘客的个人资料遭黑客盗取,同时60万名司机的驾照信息也同时被盗取,涉及到姓名、电子邮件地址和电话号码等信息。

    在优步博客上,科斯罗沙西表示,客户的社会安全号码、信用卡号码、银行账号、出生日期或出行地点等数据没有被窃取,同时,黑客也并未“突破”优步本身的公司系统。目前正在监控受影响的账户是否有被盗用的情形。

  过去一年以来,优步可谓危机重重。但这一事件更加加剧了公众对管理层的不信任。根据彭博社报道,优步付给了两名黑客10万美元封口费,要求其删除相关数据并对此保密。另一方面,优步当时并没有向执法单位报告这起事件。

  黑客入侵Github账户

  今年9月被优步任命为首席执行官的霍斯劳沙希(Dara Khosrowshahi)承认,优步没有在事发时及时通知客户有关数据被盗,他已开始调查事件始末。但公司拒绝披露攻击者的身份。

  霍斯劳沙希在一份声明中说:“这一切都不应该发生,我也不会找借口。我无法抹掉过去,但我可以代表每一位优步员工,承诺我们将从错误中学到教训。”

  随着事件曝光,优步公司本周开除了掩盖这一黑客入侵事件的首席执行官乔·沙利文(Joe Sullivan)以及他的一位副手,沙利文是负责处理此事件的主要决策者。

  霍斯劳沙希同时表态,公司已经采取重要步骤,包括通知司机,提供避免欺诈保护和聘用国家安全局前总顾问奥尔森(Matt Olsen)指导优步安全团队及提出最佳运作程序。

  根据媒体报道,与此前其他黑客案件不同,两名黑客进入优步软件工程师使用的Github编码网站,取得该公司的登录信息,再进入为优步处理运算工作的亚马逊网络服务帐户,从该帐户攫取了优步乘客和司机的个人资料,随后,他们向优步公司索取赎金。

  “尽管不知道黑客是如何获得Github账户信息的,但这可以说是一个经典错误。程序员经常会把公司登录信息写在Github程序里,使得程序能够自动登录获取数据,但最后总是会忘掉对登录加以时间和情况限制。”网络安全公司SentinelOne的安全专家Jeremiah Grossman表示。

  掩盖事实可能涉及刑事责任

“每个人都会犯错误,但应对方式不妥才会导致更严重的问题。” Jeremiah Grossman表示,他对优步事发后试图掩盖的情况表示震惊。

  优步账号盗取事件爆发后,很多人都持有相同的态度。“公司知道数据泄露却不向公众和监管机构披露,这很可能涉及刑事责任。”明尼苏达大学法学院数据安全法教授Williams McGeveran表示。

  事实上,今年早些时候,由于另一起数据泄漏事件,优步已经和监管机构美国联邦贸易委员会(FTC)达成一致,向FTC开放未来20年的数据以进行审核。“如果在FTC的调查中还发现有隐瞒,那问题会很严重。”前FTC检察长Whitney Merrill表示。

  当日晚些时候,纽约州总检察长埃里克·施奈德曼(Eric Schneiderman)向科技媒体TechCrunch证实,对此次数据窃取事件的相关调查已经开始。

  近年来,美国信息安全问题频发。2016年,雅虎曾先后两次遭遇数据泄露,共有约15亿用户账号信息被盗。2014年,美国最大金融服务机构之一的摩根大通遭遇黑客攻击,造成了约7600万账户信息被泄露。

  此前,今年9月7日,美国三大征信机构之一的Equifax公司通过一份声明告知公众,其公司网络于今年5月至7月间遭黑客攻击,导致约1.43亿名美国消费者个人信息被泄露。因波及范围之广、被泄露信息之关键,这已成为近年来规模最大且最具威胁的信息泄露事件之一。