纸包得住火吗?向黑客支付10万美元“封口费”的Uber与5700万用户的泄漏信息

2017-11-22 381909人围观 ,发现 5 个不明物体 企业安全数据安全

Uber 成立于 2009 年,一家身价超 690 亿的创业企业。但自近年一系列涉及残酷商业策略、冷漠企业文化等方面的负面新闻缠身之后,这只独角兽的光芒黯淡,从高塔上跌入困境,人们已经不知不觉将 Uber 的名字与丑闻联系在了一起…

这一次,这家共享出行企业所卷入的事件,不仅仅是一场涉及 5,700 万用户隐私信息的黑客入侵事件,还可能是一次企业违背信息披露的原则、向黑客支付赎金、掩盖事实的事件。

在11月21日(本周二)的时候,Uber 新任 CEO Dara Khosrowshahi 发出一则通告,黑客在 2016 年 10 月的时候,窃取了60万 名 Uber 司机的包括用户姓名驾驶证件在内的个人信息,以及 5700 万 Uber 乘客的包含姓名邮箱个人住址以及联系电话在内的隐私信息。同时,在通告中 Uber 表示,还没有证据表明黑客获取到了用户的位置信息支付信息社会安全号码

Uber-Hacked.jpg

根据最先报道此则数据泄漏事件的彭博社处,我们可以了解到 Uber 实际上在这起泄漏事件发生之后向黑客方面支付了 100,000 美元的赎金,Uber方面希望黑客能够事件保持缄默,并要求黑客删除窃取的数据

与此同时,Uber 没有向可能遭到波及的用户和公众进行事件信息的及时披露,并且在美国联邦贸易委员会面前,他们也试图掩盖错误、粉饰事实,将这起大型数据泄漏事件隐藏起来。

如果 Uber 在接受联邦贸易委员会(FTC)调查的时候,是明确事实情况而选择避而不谈的话,Uber 方面实际上是需要承担潜在的刑事责任的。——明尼苏达大学法学院 Williams McGeveran 教授


Uber 与黑客的秘密交易

在另一则来自新任 CEO 的消息中,我们可以发现 Uber 当时怀疑有两名黑客参与了黑客行动。

而从彭博社的报道来看,Uber 在事件发生之后就支付给这两名黑客共计 100,000 美元的“封口费”,并要求黑客们删除这些泄漏的数据。但在Uber的官方中没有提到任何涉及支付赎金的信息,而只是表示,

我们随后追踪到了黑客的行动,并从黑客那里获得了彻底删除数据的保证。

彭博社报道中还提到,Uber 随后要求其首席安全官 John Sullivan辞职,和他一起的还有这名 CSO 的助理律师。然而在事件发生的一年之后,2016 Uber 数据泄漏事件的真相最终还是公布于世。目前,纽约州总检察长也开始重新调查 Uber 处理黑客泄漏数据事件的处理方式。

2016 年黑客事件发生的时候

根据彭博社的报道,Uber 2016数据泄漏事件的根源,在于开发者在某个人账号的 GitHub 代码库中上传了一份包含用户名和密码的代码文件。黑客发现了这份文件,得到了这些身份凭证之后,他们就相当于获得了进入Uber网络的开发者账权限,然后黑客们就顺藤摸瓜地得到了在 Amazon 云服务上的 Uber 服务器中的敏感信息内容(司机和乘客的信息)。

github-1-insights-success.jpg

实际上,开发者在 Github上泄漏自己的凭证这种错误并不少见,缺乏安全意识的程序员经常在代码中写入自己的身份信息,以便自动连接相关服务,却忘记限制这种权限。

安全企业 SentinelOne 的首席安全战略研究员 Jeremiah Grossman如此评价道,

我觉得开发者在 GitHub 上犯出这种错误太常见了,我惊讶的是 Uber 在事件发生之后所做的掩饰。每个人都会犯错,企业对这些错误进行的回应,才让这次的事件变得如此糟糕。

受害者范围

此次事件中受到波及的账户数量达到 5700 万,实际上覆盖的绝大部分的用户。该公司在事件发生之后没有通知相关用户,而只是在通告中表示,

目前没有证据表明存在任何利用 Uber 泄漏的信息进行欺诈或假冒身份的事件。

官方表示受到影响的账户会有额外的保护措施。而对于在泄漏事件中受到波及的这 600,000 位司机,Uber 表示已经联系上了这些司机,并为他们提供了信用监控和防盗保护服务。

事件的严重性

这件事最终会有多严重呢?大规模的乘客数据泄漏会导致网络钓鱼、身份窃取等后续一系列事件。而司机方面的敏感信息则很可能导致更多的网络诈骗活动。相关专家表示,Uber 此次的事件不只是普通的数据泄漏,这样长达一年的隐藏事实很有可能遭到最严重和直接的后果。

FTC-State-Action-Immunity.jpg

目前Uber已经开除了其 CSO Joe Sullivan,这位安全官此前在联邦检察院和 Facebook 担任过安全职务。此外,Uber 还将会在多个州遭到巨额罚款。如果联邦贸易委员会(FTC)将 Uber 掩盖事实的行为被追究成“欺诈罪名”,就是在正式的调查环节中作出伪证,还会招致更多的处罚

*本文作者 Elaine,参考来源:Bleepingcomputersecurityweek / Bloomberg / Wired,转载请注明FreeBuf.COM

这些评论亮了

  • fuckyou 回复
    如果国内能和国外一样,对泄露个人信息对企业进行罚款,虽然不能杜绝个人信息泄露,但是企业至少不会去卖了。
    )18( 亮了
  • 国外公司太年轻了,应该给黑客寄金条啊,然后报警直接一锅端了啊。
    )10( 亮了
发表评论

已有 5 条评论

取消
Loading...
css.php