UBER支付黑客隐藏5700万用户数据泄露

2017-11-22 14:06      wired.com wired.com


到目前为止,Uber这个名字已经成为丑闻的代名词。但是这一次,公司已经超越了自己,在丑闻之前建立了一个Jenga风格的丑闻塔。共乘服务不仅失去了5700万人的私人信息的控制权,还隐藏了一年多的大规模违规行为,这种掩盖可能违反了数据泄露披露法。尤伯杯甚至可能会积极地欺骗联邦贸易委员会的调查人员,他们已经在调查这家公司是否存在明显的早期数据泄露事件。

Uber星期二在新安装的首席执行官Dara Khosrowshahi的一份声明中透露,黑客在2016年10月偷走了公司网络上的个人数据,包括60万名司机的姓名和驾照信息,更糟糕的是,和5700万Uber用户的电话号码。

Uber的反应可能最终损害公司与用户的关系,甚至可能将其暴露给对高管的刑事指控。根据最初爆出违规消息的彭博社报道,Uber向黑客支付了10万美元的赎金,以保持安全并删除他们窃取的数据。然后,它未能向公众披露这一攻击行为 - 在其用户所在的许多州可能违反了违规披露法律,并且还保留了FTC的数据窃取机密。

明尼苏达大学法学院(University of Minnesota Law School)专注于数据隐私的法律教授威廉姆斯•麦克格维兰(Williams McGeveran)表示:“如果Uber知道并隐瞒了这些信息,而且没有告知FTC,则会导致各种问题,甚至包括潜在的刑事责任。“如果这一切都是真的,这是一堆的话,这可能是对调查人员的虚假陈述,你不能在调查人员与他们达成和解的过程中撒谎。

黑客

据彭博社报道,Uber的2016年违规事件发生在黑客发现该公司的开发者已经发布代码,包括他们的用户名和密码在软件库Github的私人帐户。这些证书使得黑客能够立即访问Uber网络上的开发者特权账户,并通过它访问托管在亚马逊服务器上的敏感Uber服务器,包括他们偷走的驾驶员和驾驶员数据。

安全公司SentinelOne的网络安全研究员兼首席安全策略师杰里米亚·格罗斯曼(Jeremiah Grossman)表示,虽然目前还不清楚黑客如何访问私人Github账户,但在Github代码中共享凭证的最初错误并不是唯一的。程序员经常将代码添加到代码中,以允许自动访问特权数据或服务,然后无法限制他们共享那些凭证丰富的软件的方式和位置。

格罗斯曼说:“这在Github上太常见了,它不是一个宽容的环境。他对Uber后来的掩护报道感到震惊。“每个人都会犯错,这就是你如何回应那些让你陷入困境的错误。”

谁受到影响

Uber用户总数达到了5700万,覆盖了大部分用户,去年用户数量达到了4000万。该公司没有通知受影响的用户,在声明中写道:“没有发现与事件相关的欺诈或滥用的证据”,并且标记了受影响的帐户以获得额外的保护。至于60万信息被包含在违规行为中的司机,Uber表示现在正在与他们联系,并提供免费的信用监控和身份盗用保护。

这是多么严重?

姓名,电话号码和电子邮件地址的大量泄漏代表了骗子和垃圾邮件发送者的重要数据,他们可以将这些数据点与其他数据泄露相结合,以进行身份​​盗用,或者立即将其用于网络钓鱼。泄露的更敏感的驱动程序数据可能会为诈骗者提供更多有用的私人信息。所有这一切都有助于平均人对其个人信息的控制沉闷,稳定的侵蚀。

但是Uber,并不是普通用户的数据泄漏,可能会面临最严重和直接的后果。该公司已经开除了其首席安全官乔·沙利文(Joe Sullivan),此前他曾在Facebook担任过安全职务,之前曾担任联邦检察官。明尼阿波利斯大学(University of Minneapolis)表示,由于未能在一年内公开披露这一违规行为,该公司可能违反了违规披露法,并且应该在其用户居住的许多州以及加利福尼亚州,法学院的McGeveran。(在上面嵌入的Twitter上的声明中,前FTC律师惠特尼·梅里尔(Whitney Merrill)回应了对这些违规披露法律的解释。)McGeveran说:“如果看到各州在这个基础上追求Uber,我不会感到惊讶。

前FTC律师惠特尼·梅里尔(Whitney Merrill)周二在Twitter上回应了这一解释:

如果掩盖包括在调查2014年的违规行为期间向联邦贸易委员会作出虚假陈述,即使这是一个单独的事件,也可能会有更可怕的后果。McGeveran指出,对委员会的调查人员作出虚假陈述是联邦刑事犯罪。“这不仅仅是一杯茶的闲聊。这是一个正式的调查程序,“McGeveran说。“他们已经被政府官员提出了调查问题。他们不仅知道违规事件,而且据说还向黑客支付报酬。他们可能会忽略这个5700万人违反他们向联邦贸易委员会披露的信息。“

“如果所有这一切都是真的,”McGeveran重申,“这是巨大的。”

相关阅读

    无相关信息