微信号:ikanxue

介绍:致力于移动与安全研究的开发者社区,看雪学院(kanxue.com)官方微信公众帐号.

赔了夫人又折兵,Uber 被罚300多万

2018-11-29 18:01 小雪


2017年11月22日,Uber(优步)新任首席执行官Dara Khosrowshahi表示,2016年10月,全球共有5700万名乘客的个人资料遭黑客盗取,大约700万名Uber司机的个人信息也被盗取,涉及到姓名、电子邮件地址和电话号码等信息。Uber称,社保账号、信用卡信息细节、出行位置信息或其它数据并未泄露。


当时Uber并未公布这一数据泄露事件,而是向黑客支付了10万美元的“封口费”,要求删除泄露的数据,并将这一事件保密。



据《纽约时报》披露,这 10 万美元是 Uber 作为“漏洞赏金”给予黑客的。虽然科技公司向发现该公司系统漏洞的“白帽子”(可以理解为不做坏事的黑客)支付赏金的做法非常普遍。


但区分“白帽子”与黑客的一个很简单的标准是,白帽子不会在发现漏洞后先自行下载泄露信息,再拿着信息去要挟公司“给我 6 位数的赏金我就删除”。这种行为完全是勒索。


Uber联合创始人,卡兰尼克本人批准了这笔 10 万美元的赎金,更有意思的是,Uber 还曾试图向该黑客提供一次全额报销的旧金山之旅(旧金山是 Uber 所在地),想请对方来讨论安全技术,并答应要将他介绍给对他技术感兴趣的公司。但被该黑客拒绝。


2018年9月26日,加州总检察长Xavier Becerra和旧金山地区检察官George Gascon宣布Uber达成1.48亿美元的和解协议(戳蓝字可阅读),以解决Uber违反数据泄露报告和数据安全法律的指控。


当地时间11月27日,英国政府网络安全监管机构信息专员办公室(ICO) 表示,Uber这一做法是对用户和优步司机信息安全性的漠视。



ICO将这次的黑客行为定义为“严重违法行为”。英国对其罚款 38. 5 万英镑(约 49. 1 万美元)。


英美两国对Uber的处罚数额相差如此之大,主要是因为英国监管机构是基于1998年数据保护法案来调查此次事件,该法律仅允许最高罚款金额为50万英镑


而最新的欧盟法律则允许监管部门对公司处以高达2000万欧元或者相当于利润百分之四的罚金,这适用于2018年5月后发生的新案件。



目前,ICO正在对案件进行进一步的调查。并指出,已经在Uber的系统中发现了一系列可获得数据的安全漏洞,黑客从一个Uber运营的云储存系统中可以下载数以百万计的客户的敏感信息。


ICO已掌握2016年10月和11月被攻击的犯罪事实。


Uber 在随后发表声明称,很高兴 2016 年的数据泄露事件终于审理结束。并表示,自 2016 年以来,该公司已经改善了数据管理条例,并在今年聘请了第一位首席隐私官和数据保护官。



参考来源:

  • 好奇心研究所

  • 凤凰网科技



- End -


往期热门资讯:                                        






公众号ID:ikanxue

官方微博:看雪安全

商务合作:wsc@kanxue.com


 
看雪学院 更多文章 Glibc Heap 利用之初识 Unlink Win7 x86 SSDT Inline Hook CVE-2012-1889 Win7 通过GUID加载dll库绕过ASLR+DEP 初识堆喷射及事例(暴雷漏洞)分析 简单粗暴的so加解密实现
猜您喜欢 真的,一般人别碰开源项目!开源的“苦涩指南” 教你编写一个手势解锁控件 百度云流量监控和智能运维实战(视频+PPT) 加入新零售卓越成长营,你就是下一个独角兽 梯度下降法求解线性回归之python实现