Uber新執行長Dara Khosrowshahi公開去年底曾被入侵,竊走5700萬筆用戶資料。

圖片來源: 

Uber

Uber周二(11/21)坦承在去年底曾遭駭客入侵,駭客盜走了5700萬名Uber乘客與司機的資料。彭博社(Bloomberg)則報導,當初Uber安全長Joe Sullivan為了掩人耳目,曾支付10萬美元予駭客,要求駭客銷毀資料,事情曝光後,Sullivan已被迫離職。

今年8月底接手Uber執行長的Dara Khosrowshahi表示,他最近才知道有兩名駭客在去年曾存取Uber存放於第三方雲端服務的使用者資料,內含5700萬全球Uber乘客的姓名、電子郵件帳號及行動電話號碼,包括60萬名美國Uber司機的駕照資料。

Khosrowshahi說,當時Uber移除了駭客存取資料的管道,改善了安全措施,並確認駭客已銷毀所盜走的資料,但並不知道去年為何沒有通知受影響的用戶,也未向主管機關報告,因此延攬安全顧問Matt Olsen協助進行調查,在了解事情的始末之後,兩名該負責的人士即日起已離開Uber。

Khosrowshahi並未揭露駭客入侵的管道,也沒公布兩名離職員工的姓名。然而,彭博社則報導Uber安全長Joe Sullivan決定支付駭客10萬美元,要求駭客銷毀所竊取的資料,且不得對外聲張。

根據報導,駭客先是入侵了Uber工程師於GitHub上所建立的私有倉庫,取得Uber於AWS雲端服務的登入帳號,盜走了儲存於AWS上的Uber用戶資料,再向Uber勒索。Sullivan決定支付10萬美元的贖金,且未通報主管機關,包括紐約總檢察長與美國聯邦交易委員會(FTC)都是本周二才知情。

真相大白之後,Uber要求Sullivan離職,也開除了Sullivan底下的資深律師Craig Clark,即日起生效。

2015年加入Uber的Sullivan為Uber的首任安全長,且是在Uber資料外洩事件曝光後、為了加強資安才設立的職缺,先前Sullivan亦曾擔任臉書(Facebook)安全長一職。


Advertisement

更多 iThome相關內容