自从优步中国和滴滴打车合并之后,优步的日子越来越不好过。今年6月,由于公司内部频发性骚扰案件,优步炒掉了20名员工;同月优步的联合创始人、前首席执行官卡兰尼克被迫辞职……
而今天,优步再一次因为自己的愚蠢做法而被推上风口浪尖。
用户信息被盗
优步知情不报
北京时间11月22日凌晨,优步公司CEO达拉·科斯罗萨西(DaraKhosrowshahi)在公司官网上发布一份公告,公告称:
我最近得知,在2016年底,有两名公司外部人员窃取了优步公司储存在第三方云服务器中的用户数据。
▲图片来源:优步公司公告
两名黑客窃取并下载了全球5700万优步用户的姓名、电子邮箱、电话号码等,其中包括60万美国境内优步司机的姓名、驾照信息。但优步表示,社会安全码、信用卡信息和行程细节等数据没有被盗。
优步CEO的公告发出后,彭博社等媒体提出了质疑,去年10月份5700万名乘客和司机的个人数据遭到泄露,优步为什么在时隔一年才将这一重大安全漏洞对外公布?
达拉·科斯罗萨西解释说:
当数据泄露发生时,我们立即采取措施保护用户数据,并关闭了未经授权形式的个人访问,我们还实施了安全措施,限制了对基于云计算的存储账户的访问,并加强了控制。
我也很疑惑,为什么公司一年之后才公布该消息。因此,我向公司相关部门提出了几项处理措施:
咨询了有关专家,指导优步公司安全管理团队工作;
就个人信息被下载一事,单独向相应的优步用户和司机发出通知;
通知监管部门;
公司正在密切监控被窃取账户情况。
根据彭博社报道,优步的联合创始人、前CEO卡兰尼克在2016年11月,也就是黑客入侵的一个月后,便得知了此事。但目前,卡兰尼克本人拒绝就此事置评。
值得注意的是,优步在得知用户信息遭窃取之后,不仅并没有对外披露,还给黑客交“赎金”。
据彭博社报道,首席安全官乔•沙利文(Joe Sullivan)和一名副手“尽职”地向黑客支付了10万美元的赎金,让黑客删除盗窃的信息。本周,优步公司就将这两人开除。彭博社上月曾报道称,优步董事会对沙利文的安全团队的活动进行了调查。正是在这次调查中,优步才发现了这次信息泄露以及公司未对外界披露的事实。
黑客如何入侵优步?
彭博社报道中称,两名黑客访问了优步软件工程师使用的一个私人GitHub编码站点,然后使用他们在那里获取的登陆凭证来访问储存在亚马逊云服务(AWS)账户上的数据,而该账户的目的正是为优步处理计算任务。而恰恰是在那个账户里面,黑客们发现了一个关于优步乘客和司机的档案。优步表示,黑客给优步发来了电子邮件,以勒索的方式换取赎金。
▲图片来源:视觉中国
责任编辑:张玉
