向黑客付“封口费”!优步承认瞒5700万用户数据遭窃
【环球时报驻美国特约记者 郑香君 环球时报特约记者 汪品植】美国网络出租车服务公司优步(Uber)当地时间22日承认,其在2016年10月曾遭全球性黑客攻击,造成5700万名客户和司机的个人数据失窃。但据美国媒体的报道,Uber当时并没有第一时间通知信息遭窃的用户和司机,也没有向监管部门报案,而是向黑客支付了10万美元让其删除窃取的数据,并隐瞒长达一年,直到美国彭博社等媒体曝光此事。
据英国《卫报》22日报道,刚刚担任优步首席执行官不久的科斯罗萨西发表声明,承认报道内容,并称:“这一切都不应发生,对此我不会去找任何借口。”据悉,被盗的用户信息除了乘客姓名、邮箱和电话号码之外,还有约60万名司机的驾照号码。但诸如信用卡数据和社保号码等财务信息并未被盗。优步强调,经网络安全专家确认,黑客已销毁所有敏感信息,公司也已向美国监管部门汇报此事件。优步将在未来几天通知受影响账户的所有者,同时宣布对信息失窃的个人提供免费支持,包括协助监控信用账户、加强防身份盗窃保护等。
时任优步首席安全官沙利文和他的副手克拉克因此遭到公司解雇。沙利文2015年加入该公司,此前曾一度担任联邦检察官,他在应对黑客攻击中做出了关键决定,即隐瞒相关信息。事发一个月后,优步创始人、前总裁卡拉尼克才获知此消息。
最早曝光此事的彭博社称,优步在亚马逊云端服务上的账户信息并未加密,这给了黑客可乘之机。按网络安全专家的说法,在亚马逊云端存储未加密信息的错误是“不可原谅的”。也有网络安全专家指出,发现信息被窃不立即通报用户和政府,而是想办法藏着掖着,完全是“业余的”做法,也根本不可能藏得住。
近年来,美国拥有海量数据的知名企业接连遭黑客攻击,造成包括雅虎邮箱、社交网站MySpace、个人信用报告公司Equifax等在内数以亿计用户的数据被盗。但这次让人大跌眼镜的是优步公司在数据被盗取之后的反应。媒体分析称,优步掩盖黑客窃密的行为应承担什么样的法律责任目前还不好说。鉴于美国是判例法国家,目前多家美国法庭都在审理数据失窃案,而这些法庭对案件的具体态度大不相同,有的法官同意用户联合起来对企业提出集体诉讼,而有的则要求原告自行证明被泄密的信息确实遭到滥用造成自己的损失。
这已经不是优步在类似问题上的“初犯”。彭博社称,2014年优步也曾发生5万名司机个人信息遭泄露事件,当时优步公司的代理律师指责是竞争对手所为,但黑客身份一直未得到确认。2016年1月,纽约总检察长因其未及时披露2014年的数据被窃事件向优步开出两万美元罚单,优步虽拒绝承认有违规行为,不过后来接受了罚款。