命运多舛的 Uber 似乎一直难逃负面新闻的沼泽。在管理层大换血、员工性骚扰等事件后,近日其又被爆出为了掩盖 5700 万数据的泄露而向黑客支付了 10 万美元的事件。据彭博社等外媒报道,11 月 21 日 Uber 主动公开了去年这起大规模数据泄露案始末。
Uber 新任 CEO 达拉·科斯罗沙西(在 Uber 创始人特拉维斯·卡兰尼克离职后今年 8 月上任)表示,这一黑客攻击事件发生在 2016 年 10 月,然而一直过了 1 个月后 Uber 才意识到这个漏洞危机。报道称,黑客通过外部代码托管网站 GitHub 获得了 Uber 工程师在亚马逊云计算服务中的账号和密码,从而盗取了 Uber 数千万的帐号信息,包括全球 5000 万名 Uber 乘客的姓名、电邮地址和手机号码,另有大约 700 万名 Uber 司机的个人信息也被盗取,其中包括 60 万名美国司机的牌照号码。不过 Uber 称,社保账号、信用卡信息细节、出行位置信息或其它数据并未遭到泄露,目前也并无迹象表明相关的数据有被用于欺诈或滥用,此外 Uber 也拒绝披露攻击者的身份信息。
Dara Khosrowshahi
从法律层面来看,Uber 应当在发现网络攻击时立即通知用户和监管机构,然而其首席安全官乔·沙利文(曾任 Facebook 首席安全官,之前是一名联邦检察官,也是硅谷最受尊敬的安全主管之一)却选择了掩饰——不仅没有及时公布这一数据泄露事件,而且还向黑客支付了 10 万美元要求对方删除泄露的数据并保密。随着事件的曝光,两位当事人也被 Uber 开除离开,包括沙利文以及向沙利文报告的高级律师克雷格·克拉克。截至目前,沙利文还没有任何回复。
科斯罗萨西承认,由于 Uber 一直忙于从一系列危机中恢复过来所以导致了未能及时披露这一漏洞。当这一事件发生时,Uber 正与美国监管部门就另外一桩违反隐私指控进行磋商,对于这次事件虽然未能及时披露,但是 Uber 立即采取了措施保护数据的安全,并进一步关闭了个人未经授权访问系统的入口,对于那些牌照号码被盗的司机 Uber 也将为其提供免费的信用保护监控和身份盗窃保护。
周二,科斯罗萨西首次向纽约司法部长和美国联邦贸易委员会告知了这一黑客入侵事件,在随后的邮件声明中他表示:“这一切本不该发生,我不会为此找借口。”同时“我们正在改变我们的做事方式”,Uber 将聘请网络安全公司 Mandiant 调查此次攻击事件,还聘请了美国国家安全局前法律总顾问、国家反恐中心前主任马特·奥尔森为顾问,协助公司重组安全团队,来帮助他找出如何最好地指导和组织公司安全团队和工作流程的方法。“尽管我们不能抹掉过去,但是我能代表每一位 Uber 员工承诺:我们将从过去的错误中吸取教训”科斯罗萨西如是称。
据报道,美国联邦调查局官员和私人保安公司在过去的一年里就曾表示,现在的黑客已经越来越多地转向敲诈勒索,尽管很少被披露,但是确实有越来越多的公司宁愿选择像犯罪黑客支付款项以寻求息事宁人。此次 Uber 黑客入侵事件在国内外引起了轩然大波,包括 Twitter、Hacker News 等人们都在讨论此事,在此分享一些不同的看法:
@claudiulodro:
Uber 竟然没有要求他们的工程师在 GitHub 中开启 2FA(two-factor authentication),一个超级简单的操作就可以在一定范围内阻止这一切的发生(如果在 GitHub 中开启了 2FA,那么在本地系统中输入 GitHub 账号密码时不能输入原始的密码,即 GitHub 网站的登录密码,而是需要事先在 GitHub 网站中创建一个 Personal access token,后续在访问代码仓库需要进行权限校验的时候,采用 access token 作为密码进行输入)。再不济,GitHub 的存储凭证也能阻止吧......
@chakalakasp:
我不懂 Uber 或是其他大多数的科技公司采取的这类公关策略有什么价值?对于 Uber 来说这类事件实在显得过于稀疏平常。但不管怎样,现在提到 Uber 可不仅仅会想到他们工作环境多么的恶劣,他们多么努力来监视他们的员工和客户等等,现在的话还可以加一个他们是如何隐藏巨大的数据泄露的。如果 Uber 仍是由 Magneto 掌舵的话也不知道现在会是个什么光景。
@randerson:
我现在正在负责一家大型电子商务公司的数据安全,Uber 的这次数据泄露真的看得我十分恐慌……当被黑客攻击时,我想没有人会愿意去冒着坐牢的风险。工程师任何的一个错误都会给黑客带来可乘之机,也根本不会有人做到零漏洞。成千上万的敌人和有限数量的员工——这样的游戏根本没有胜算,公司越大被攻击的可能性也就越高。当被攻击时,你只能期望这是一个满怀同情心的黑客或是具有高度针对性的攻击行为。因此如果不想为别人的恶意行为买单,明确定义自身的职责范围是十分重要的。