Uber は大規模なデータ侵害を隠蔽するためにハッカーに 10 万ドルを支払いました
公開: 2017-11-22昨年発生した情報漏えいの一環として、5,700 万人の Uber の乗客とドライバーのデータが不正にアクセスされました
メール、動画、画像、ツイート、コンテンツを通じて毎日 250 京バイトを超えるデータが消費される世界では、何らかの形での侵害は避けられません。 セキュリティ違反が発生した場合、侵入した企業/プラットフォームには、顧客や政府機関に警告する責任があります。 これは、Uber がひどく失敗したところです。
今週明らかになったレポートによると、世界的なライドシェアリングの巨人は2016 年 10 月に大規模な侵害を受け、5,700 万人を超えるドライバーと顧客のデータが違法にアクセスされました。 侵害を当局に報告する代わりに、Uber は 1 年以上にわたってハッキングを秘密にしておくことを選択し、沈黙のために攻撃者に 10 万ドルを支払うことまでしました。
サイバー攻撃の報告がついに表面化したのは、今週初め、タクシー アグリゲータが最高セキュリティ責任者と隠蔽工作に関与した他の数人を追放したときでした。
論争に応えて、同社の新しく戴冠したCEOのDara Khosrowshahiは、次のように述べています。 私たちはビジネスのやり方を変えています。 過去を消すことはできませんが、Uber のすべての従業員を代表して、過ちから学ぶことを約束することはできます。」
興味深いことに、Uber のドライバーと顧客の個人情報にアクセスしたのはこれが初めてではありません。 2015 年、このタクシー アグリゲーターは、新たにリリースされた「Uber Partner」というアプリを通じて、何百人ものドライバーの個人情報を誤って漏らしてしまいました。 社会保障番号、運転免許証のスキャン、納税申告書などの詳細が公開されました。
昨年の 10 月に正確に何が起こったのか?
昨年 10 月に発生した違反の一環として、攻撃者は世界中の 5,000 万人を超える Uber 利用者の名前、メール アドレス、電話番号にアクセスできました。 さらに、米国だけで 60 万人を含む最大 700 万人のドライバーの個人データがハッキングされたと、情報筋が明らかにしました。
では、違反は具体的にどのように発生したのでしょうか。 ブルームバーグが最近のレポートで語ったように、2 人の攻撃者が、Uber のエンジニアが使用する GitHub のコーディング側に侵入し、認証されたログイン認証情報を取得しました。その後、それを使用して、同社の AWS アカウントの 1 つに保存されているプライベート データにアクセスしました。
情報筋によると、このアカウントはタクシー アグリゲーターのエンジニアリング チームがさまざまなコンピューティング タスクを処理するために使用していました。 このアカウントを通じて、ハッカーはライダーとドライバーの広範なデータ アーカイブを手に入れました。 これらの詳細を武器に、デュオは会社にお金を脅迫したと言われています。
違反を当局に通知する代わりに、Uber は問題を独自に解決することを決定しました。 攻撃者の沈黙を買うために一時金を支払うことがおそらく最初の行動計画でしたが、同社は侵害を元に戻すための措置を講じたと主張しました.
Khosrowshahi 氏は次のように付け加えています。 また、クラウドベースのストレージ アカウントへのアクセスを制限し、制御を強化するためのセキュリティ対策も実装しました。」
ただし、ハッキングされた情報は使用されなかった可能性が高いと、CEO の Dara Khosrowshahi 氏は主張しています。
あなたにおすすめ:
では、そもそもなぜ Uber は情報漏えいを隠蔽したのでしょうか?
Uber が透明性のある方法で侵害に対処するのではなく、侵害を秘密にしておくことを選択した理由を理解するには、さらに深く掘り下げる必要があります。 奇妙なことに、この事件は、ライドシェアリングプラットフォームがプライバシー侵害の疑いに関する調査にすでに巻き込まれていたときに発生しました.
当時の Uber の CEO である Travis Kalanick は、2016 年 11 月の最も遅い時期に攻撃について知らされました。ブルームバーグがそのレポートで詳述したように、このタクシー アグリゲータは、データ セキュリティの開示をめぐるニューヨークでの訴訟を解決したばかりであり、連邦貿易局との交渉に関与していました。消費者データを取り扱う際のセキュリティ対策に関するコミッション。
侵害の後に取られた疑わしい行動は、現在追放された最高セキュリティ責任者であるジョー・サリバンによって主に実行されました. 攻撃から約 11 か月後、Uber の取締役会は第三者の法律事務所に事件全体の調査を開始するよう依頼しました。 サリバンの危機対応の悪さと開示の怠慢は、つい先月発見されたばかりです。
昨日の Uber の声明の発表に続いて、ニューヨーク司法長官の Eric Schneiderman は、サイバー攻撃に対する新たな調査を命じました。 一方、配車の巨人は過失の罪で顧客からも訴えられている.
Uber: 消えない問題を抱えた遺産
2008 年 8 月に Travis Kalanick と Garrett Camp によって設立され、サンフランシスコに本社を置くこの会社は、現在、Softbank と他の投資家から 100 億ドルという驚異的な資金調達を進めています。 評価額は 700 億ドルを超えますが、過去 9 年間の旅は劇的なものでした。 2017 年 1 月は、JFK 空港での 1 時間のタクシー ストライキを破ろうとしていると誤って認識された後、Uber がソーシャル キャンペーン #DeleteUber に直面したことから始まりました。
その後、ドナルド・トランプがシリア難民の入国を禁止する大統領令に署名し、イスラム教徒が圧倒的に多い7つの国からの市民の入国をブロックした後、ユーザーの怒りを買った. 当時、Uber の Travis Kalanick はトランプ大統領のビジネス諮問委員会に所属しており、これが #DeleteUber の延長につながりました。
2 月、Uber の元エンジニアである Susan Fowler は、Uber での 1 年間に関するブログ投稿でセクシャルハラスメントと性差別の主張を明らかにしました。 同じ月、Google からスピンオフした自動運転車会社の Waymo は、Google の自動運転車プロジェクトの元トップ マネージャーである Anthony Levandowski が、Uber の自動運転車を走らせる前に Google から極めて重要な技術を盗んだと主張して、Uber を訴えました。分割。
これらすべての申し立てに続いて、Travis Kalanick は、他の株主からの圧力の中で、6 月 20 日に投資家の圧力を受けて CEO を辞任しました。 それ以来、カラニックは初期の投資家であるベンチマーク・キャピタルとアーヴィング・ファイアーマンズ・リリーフ・アンド・リタイアメント・ファンドからも訴えられ、詐欺、契約違反、信認義務違反で訴えられた.
8 月後半、Uber は Dara Khosrowshahi で新しい船長を見つけました。 9 月にロンドンで禁止されたこのタクシー アグリゲーターは、再び話題になりました。 ロンドンの運輸当局が Uber の市内での営業許可を更新しないというニュースが最初に表面化したとき、Khosrowshahi は公開書簡で次のように述べていました。 」 Uber はそれ以来、ロンドン交通局に禁止の撤回について控訴し、ロンドンでの営業をすぐに開始したいと考えています。
インド市場で明るく見えるもの
2016 年末、Uber の純収益は 65 億ドルに達しました。 同じ期間に発生した 28 億ドルの損失を考慮しなければ、印象的な数字です。 インドの場合、2015 年度に報告された総収益は、発生した損失をわずか 300 万ドル (INR 18.7 Cr) 上回るだけでした。
しかし、中国事業を北京に本拠を置く滴滴出行に売却し、ロシアの Yandex と合併して以来、Uber はインド市場の獲得に注力し始めました。インド市場には現在、Ola のような自家繁殖の巨人や伝統的なタクシー協会が住んでいます。 たとえば昨年、同社はサウジアラビアの公共投資基金から調達した 35 億ドルのかなりの部分を Uber India に注入することを約束しました。
今年 7 月、同社は企業登録機関への提出書類に従って、799 万ドル (INR 51.64 Cr) を Uber India に投入しました。 この注入は、会社が MCA に提出したとおり、2017 年 5 月に行われました。 この金額は、Uber Holdings International BV、Uber International BV、Besitz Holding BV、Mieten BV などのオランダの子会社から送金されました。
2016 年 6 月以降、同社のインドでのプレゼンスは、乗車回数と総商品量の点で 2.5 倍に成長したと、Uber India の責任者である Amit Jain 氏は Livemint とのインタビューで主張しています。 インドでのプレゼンスを固めるために、このタクシー配車スタートアップは、一部の大都市で UberPASS の試験運用を開始しました。これにより、タクシーの乗客は割引運賃やさまざまな限定特典を利用できるようになりました。 これには、最高評価のドライバーの選択、キャンセル料の免除、プレミアム製品や機能への独占アクセスなどが含まれます。
また、地元のレストランに配達オプションを提供する UberEATS サービスによる食品配達にも進出しています。 同社はまた、UberEATS を成功させるために何百もの配達パートナーを任命したと主張しています。 一方、ナレンドラ モディ首相は、交通渋滞を緩和するために、Uber などのタクシー シェアリング会社と提携することを計画しています。 3 か月の試行により、政府は国内での自家用車の所有を減らす方法にアクセスできるようになります。
さかのぼる 7 月、配車会社のインド部門は、同社のプラットフォームに Unified Payment Interface (UPI) を統合することを発表しました。 この機能は、UPI トランザクション用の仮想支払いアドレスを既に持っている乗客が、銀行間支払いプラットフォームを使用して乗車料金を支払うことができるように統合されました。
好むと好まざるとにかかわらず、今日、データ侵害はよくあることです。 Yahoo、MySpace、Target Corp、Anthem Inc、Equifax Inc などの大企業はすべて、最近、何らかのセキュリティ侵害に苦しんでいます。 しかし、それは、その規模の違反を隠蔽するという Uber の決定を正当化するものではありません。 論争と挫折に満ちた 1 年で、これが Uber の棺桶の最後の釘になるのでしょうか?