Uber จ่ายเงิน 100K ให้กับแฮกเกอร์เพื่อปกปิดการละเมิดข้อมูลจำนวนมาก

เผยแพร่แล้ว: 2017-11-22

จากการละเมิดที่เกิดขึ้นเมื่อปีที่แล้ว ข้อมูลของผู้ขับขี่และคนขับ Uber 57 ล้านคนถูกเข้าถึงอย่างผิดกฎหมาย

ในโลกที่มีการใช้ข้อมูลมากกว่า 2.5 quintillion ไบต์ทุกวันผ่านอีเมล วิดีโอ รูปภาพ ทวีต และเนื้อหา การละเมิดในรูปแบบใดรูปแบบหนึ่งเป็นสิ่งที่หลีกเลี่ยงไม่ได้ เมื่อเกิดการละเมิดความปลอดภัย ความรับผิดชอบจะตกอยู่กับบริษัท/แพลตฟอร์มที่แทรกซึมเพื่อแจ้งเตือนลูกค้าและหน่วยงานภาครัฐ นี่คือจุดที่ Uber ล้มเหลวอย่างมาก

ตามรายงานที่เผยแพร่ในสัปดาห์นี้ ยักษ์แชร์รถทั่วโลกได้ละเมิดครั้งใหญ่ใน เดือนตุลาคม 2016 โดยข้อมูลของผู้ขับขี่และลูกค้ามากกว่า 57 ล้านคนถูกเข้าถึงอย่างผิดกฎหมาย แทนที่จะรายงานการละเมิดต่อเจ้าหน้าที่ Uber เลือกที่จะปกปิดการแฮ็กมานานกว่าหนึ่งปี ไปจนถึงการจ่ายเงิน 100,000 ดอลลาร์แก่ผู้โจมตีเพื่อปิดปากเงียบ

ในที่สุดรายงานการโจมตีทางไซเบอร์ก็ปรากฏขึ้นเมื่อผู้รวบรวมรถแท็กซี่ขับไล่หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยและคนอื่น ๆ อีกสองสามคนที่เกี่ยวข้องกับการปกปิดเมื่อต้นสัปดาห์นี้

ในการตอบสนองต่อความขัดแย้ง Dara Khosrowshahi CEO คนใหม่ของบริษัทกล่าวว่า “สิ่งนี้ไม่ควรเกิดขึ้น และฉันจะไม่แก้ตัวสำหรับเรื่องนี้ เรากำลังเปลี่ยนแปลงวิธีการดำเนินธุรกิจของเรา แม้ว่าฉันจะลบอดีตไม่ได้ แต่ฉันสามารถให้คำมั่นในนามของพนักงาน Uber ทุกคนว่าเราจะได้เรียนรู้จากความผิดพลาดของเรา”

ที่น่าสนใจ นี่ไม่ใช่ครั้งแรกที่มีการเข้าถึงรายละเอียดส่วนตัวของคนขับและลูกค้าของ Uber ในปี 2015 ผู้รวบรวมรถแท็กซี่ได้เปิดเผยข้อมูลส่วนบุคคลของผู้ขับขี่หลายร้อยคนโดยไม่ตั้งใจผ่านแอปที่เพิ่งเปิดตัวชื่อ "Uber Partner" รายละเอียดต่างๆ เช่น หมายเลขประกันสังคม การสแกนใบขับขี่ และแบบฟอร์มภาษีถูกเปิดเผยต่อสาธารณะ

เกิดอะไรขึ้นกันแน่เมื่อตุลาคมที่แล้ว?

ส่วนหนึ่งของการละเมิดที่เกิดขึ้นในเดือนตุลาคมปีที่แล้ว ผู้โจมตีสามารถเข้าถึงชื่อ ที่อยู่อีเมล และหมายเลขโทรศัพท์ของ ผู้ขับขี่ Uber กว่า 50 ล้านคนจากทั่วโลก นอกจากนี้ ข้อมูลส่วนบุคคลของไดรเวอร์มากถึง 7 ล้านคน รวมถึง 600K ในสหรัฐอเมริกาเพียงแห่งเดียว ถูกแฮ็ก แหล่งข่าวเปิดเผย

แล้วการละเมิดเกิดขึ้นได้อย่างไร? ตามที่ Bloomberg บรรยายในรายงานฉบับล่าสุด ผู้โจมตีสองคนสามารถเจาะเข้าไปในด้านการเข้ารหัส GitHub ที่ใช้โดยวิศวกรของ Uber และดึงข้อมูลรับรองการเข้าสู่ระบบที่แท้จริง ซึ่งพวกเขาใช้ในการเข้าถึงข้อมูลส่วนตัวที่จัดเก็บไว้ในบัญชี AWS ของบริษัทใดบัญชีหนึ่งในภายหลัง

บัญชีตามแหล่งที่มากำลังถูกใช้โดยทีมวิศวกรของผู้รวบรวมรถแท็กซี่เพื่อจัดการกับงานคอมพิวเตอร์ต่างๆ แฮ็กเกอร์ได้รับข้อมูลที่เก็บถาวรของผู้ขับขี่และผู้ขับขี่ผ่านบัญชี ด้วยรายละเอียดเหล่านี้ ทั้งคู่จึงถูกกล่าวหาว่าแบล็กเมล์บริษัทเพื่อเงิน

แทนที่จะแจ้งเจ้าหน้าที่ถึงการละเมิด Uber ตัดสินใจที่จะจัดการเรื่องนี้ด้วยตัวเอง ในขณะที่จ่ายเงินก้อนเพื่อซื้อความเงียบของผู้โจมตีอาจเป็นแผนปฏิบัติการแรกของบริษัท แต่บริษัทอ้างว่าได้ดำเนินการตามขั้นตอนเพื่อย้อนกลับการละเมิด

Khosrowshahi กล่าวเสริมว่า “ในช่วงเวลาที่เกิดเหตุการณ์ เราดำเนินการทันทีเพื่อรักษาความปลอดภัยข้อมูลและปิดการเข้าถึงโดยไม่ได้รับอนุญาตเพิ่มเติมโดยบุคคล เรายังใช้มาตรการรักษาความปลอดภัยเพื่อจำกัดการเข้าถึงและเพิ่มความแข็งแกร่งให้กับการควบคุมบัญชีที่เก็บข้อมูลบนคลาวด์ของเรา”

อย่างไรก็ตาม ข้อมูลที่ถูกแฮ็กนั้นน่าจะไม่เคยถูกใช้เลย Dara Khosrowshahi ซีอีโอกล่าว

แนะนำสำหรับคุณ:

Metaverse จะพลิกโฉมอุตสาหกรรมยานยนต์อินเดียได้อย่างไร
ทรัพยากร

Metaverse จะพลิกโฉมอุตสาหกรรมยานยนต์อินเดียได้อย่างไร

บทบัญญัติต่อต้านการแสวงหากำไรสำหรับสตาร์ทอัพในอินเดียมีความหมายอย่างไร?
ทรัพยากร

บทบัญญัติต่อต้านการแสวงหากำไรสำหรับสตาร์ทอัพในอินเดียมีความหมายอย่างไร?

วิธีที่ Edtech Startups ช่วยเพิ่มทักษะและทำให้พนักงานพร้อมสำหรับอนาคต
ทรัพยากร

Edtech Startups ช่วยให้แรงงานอินเดียเพิ่มพูนทักษะและเตรียมพร้อมสู่อนาคตได้อย่างไร...

ข่าว

หุ้นเทคโนโลยียุคใหม่ในสัปดาห์นี้: ปัญหาของ Zomato ยังคงดำเนินต่อไป, EaseMyTrip Posts Stro...

สตาร์ทอัพอินเดียใช้ทางลัดในการไล่ล่าหาทุน
คุณสมบัติ

สตาร์ทอัพอินเดียใช้ทางลัดในการไล่ล่าหาทุน

Logicserve Digital สตาร์ทอัพด้านการตลาดดิจิทัลรายงานว่าได้ระดมทุน INR 80 Cr จากบริษัทจัดการสินทรัพย์อื่น Florintree Advisors
ข่าว

แพลตฟอร์มการตลาดดิจิทัล Logicserve ระดมทุน INR 80 Cr รีแบรนด์เป็น LS Dig...

เหตุใด Uber จึงปกปิดการละเมิดตั้งแต่แรก?

เพื่อให้เข้าใจว่าทำไม Uber จึงเลือกที่จะปกปิดการละเมิด แทนที่จะจัดการกับมันอย่างโปร่งใส เราต้องเจาะลึกลงไป น่าแปลกที่เหตุการณ์เกิดขึ้นในช่วงเวลาที่แพลตฟอร์มการแชร์รถถูกพัวพันในการสอบสวนเรื่องการละเมิดความเป็นส่วนตัวที่น่าสงสัย

Travis Kalanick ซึ่งเป็น CEO ของ Uber ในขณะนั้นได้รับแจ้งถึงการโจมตีครั้งใหญ่ที่สุดในเดือนพฤศจิกายน 2016 ตามรายงานของ Bloomberg ผู้รวบรวมรถแท็กซี่ได้ ตัดสินคดีความในนิวยอร์กเกี่ยวกับการเปิดเผยข้อมูลด้านความปลอดภัย และมีส่วนร่วมในการเจรจากับ Federal Trade คณะกรรมาธิการเกี่ยวกับมาตรการรักษาความปลอดภัยเมื่อจัดการกับข้อมูลผู้บริโภค

การกระทำที่น่าสงสัยที่เกิดขึ้นภายหลังการละเมิดส่วนใหญ่ดำเนินการโดยโจ ซัลลิแวน หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยซึ่งปัจจุบันถูกขับออกไป เกือบสิบเอ็ดเดือนหลังจากการโจมตี คณะกรรมการของ Uber ได้มอบหมายให้สำนักงานกฎหมายบุคคลที่สามทำการสอบสวนเหตุการณ์ทั้งหมด การจัดการกับวิกฤตการณ์และความล้มเหลวในการเปิดเผยของซัลลิแวนที่น่าสงสารถูกค้นพบเมื่อเดือนที่แล้วเท่านั้น

หลังจากแถลงการณ์ของ Uber เมื่อวานนี้ Eric Schneiderman อัยการสูงสุดของนิวยอร์กได้สั่งให้มีการสอบสวนครั้งใหม่เกี่ยว กับการโจมตีทางอินเทอร์เน็ต ในขณะเดียวกัน ผู้ให้บริการรถยักษ์ใหญ่รายนี้ยังถูกลูกค้าฟ้องในข้อหาประมาทเลินเล่ออีกด้วย

Uber: มรดกที่มีปัญหาที่จะไม่หายไป

ก่อตั้งขึ้นในเดือนสิงหาคม 2551 โดย Travis Kalanick และ Garrett Camp บริษัทซึ่งมีสำนักงานใหญ่ในซานฟรานซิสโกอยู่ในระหว่างการระดมทุน 10 พันล้านดอลลาร์จาก Softbank และกลุ่มนักลงทุนรายอื่นๆ แม้ว่าจะมีมูลค่ามากกว่า 70 พันล้านดอลลาร์ แต่การเดินทางในช่วงเก้าปีที่ผ่านมานั้นไม่มีอะไรน่าตื่นเต้น มกราคม 2017 เริ่มต้นด้วย Uber ที่เผชิญกับแคมเปญโซเชียล #DeleteUber หลังจากที่ถูกเข้าใจผิดคิดว่ากำลังพยายามหยุดการประท้วงด้วยแท็กซี่หนึ่งชั่วโมงที่สนามบิน JFK

ต่อมาได้สร้างความเดือดดาลให้กับผู้ใช้หลังจากที่โดนัลด์ ทรัมป์ ลงนามในคำสั่งห้ามการเข้าเมืองสำหรับผู้ลี้ภัยชาวซีเรีย และปิดกั้นการเข้าประเทศสำหรับพลเมืองจากเจ็ดประเทศที่นับถือศาสนาอิสลาม ในเวลานั้น Travis Kalanick ของ Uber อยู่ในสภาที่ปรึกษาธุรกิจของ Trump และนำไปสู่การขยาย #DeleteUber

ในเดือนกุมภาพันธ์ Susan Fowler อดีตวิศวกรของ Uber ได้เปิดเผยข้อกล่าวหาเรื่องการล่วงละเมิดทางเพศและการกีดกันทางเพศในบล็อกโพสต์เกี่ยวกับปีที่ Uber ของเธอทำงาน ในเดือนเดียวกัน Waymo บริษัทรถยนต์ไร้คนขับแยกตัวออกจาก Google ฟ้อง Uber โดยกล่าวหาว่า Anthony Levandowski อดีตผู้จัดการระดับสูงของโครงการรถยนต์ไร้คนขับของ Google ขโมยเทคโนโลยีสำคัญจาก Google ก่อนออกเดินทางเพื่อขับรถไร้คนขับของ Uber แผนก.

ตามข้อกล่าวหาเหล่านี้ Travis Kalanick ได้ลาออกจากตำแหน่งซีอีโอภายใต้แรงกดดันของนักลงทุนเมื่อวันที่ 20 มิถุนายน ท่ามกลางแรงกดดันจากผู้ถือหุ้นรายอื่น ตั้งแต่นั้นมา Kalanick ก็ถูกฟ้องโดย Benchmark Capital นักลงทุนรายแรก เช่นเดียวกับกองทุนสงเคราะห์และการเกษียณอายุของ Irving Firemen โดยกล่าวหาว่าเขาฉ้อโกง ผิดสัญญา และละเมิดหน้าที่ความไว้วางใจ

ต่อมาในเดือนสิงหาคม Uber ได้พบกัปตันคนใหม่ใน Dara Khosrowshahi ในเดือนกันยายน ผู้รวบรวมรถแท็กซี่กลายเป็นหัวข้อข่าวอีกครั้งเมื่อถูกห้ามในลอนดอน เมื่อข่าวปรากฏว่าหน่วยงานขนส่งในลอนดอนจะไม่ต่ออายุใบอนุญาตของ Uber เพื่อดำเนินการในเมือง Khosrowshahi กล่าวในจดหมายเปิดผนึกว่า "ในนามของทุกคนที่ Uber ทั่วโลก ฉันขอโทษสำหรับความผิดพลาดที่เราทำ ” Uber ได้ยื่นอุทธรณ์ต่อ Transport for London เกี่ยวกับการยกเลิกการสั่งห้ามดังกล่าว และหวังว่าจะเริ่มดำเนินการในเมืองเร็วๆ นี้

สิ่งที่ดูสดใสในตลาดอินเดีย

ณ สิ้นปี 2559 รายรับสุทธิของ Uber สูงถึง 6.5 พันล้านดอลลาร์ ตัวเลขที่น่าประทับใจถ้าเราไม่พิจารณาการสูญเสีย 2.8 พันล้านดอลลาร์ที่เกิดขึ้นในช่วงเวลาเดียวกัน ในกรณีของอินเดีย รายรับรวมที่รายงานในปีงบ 15 อยู่ที่เพียง 3 ล้านเหรียญสหรัฐ (INR 18.7 Cr) สูงกว่าการสูญเสียที่เกิดขึ้น

นับตั้งแต่ขายกิจการในจีนให้กับ Didi Chuxing ในกรุงปักกิ่ง และควบรวมกิจการกับ Yandex ในรัสเซีย Uber ได้เริ่มมุ่งเน้นความพยายามในการเข้ายึดตลาดอินเดีย ซึ่งปัจจุบันมีบริษัทยักษ์ใหญ่ในประเทศอย่าง Ola และสมาคมแท็กซี่แบบดั้งเดิมอาศัยอยู่ ตัวอย่างเช่น ปีที่แล้ว บริษัทสัญญาว่าจะอัดฉีดส่วนสำคัญของเงินจำนวน 3.5 พันล้านดอลลาร์ที่ระดมทุนจากกองทุนเพื่อการลงทุนสาธารณะของซาอุดีอาระเบียเข้า Uber อินเดีย

ในเดือนกรกฎาคมปีนี้ บริษัทได้ทุ่มเงิน 7.99 ล้านเหรียญสหรัฐฯ (INR 51.64 Cr) ให้กับ Uber India ตามเอกสารที่ยื่นต่อนายทะเบียนของบริษัท การให้ยานี้เกิดขึ้นในเดือนพฤษภาคม 2560 ตามเอกสารที่บริษัทยื่นต่อ MCA จำนวนเงินดังกล่าวโอนมาจากบริษัทในเครือของบริษัทในเนเธอร์แลนด์ ซึ่งรวมถึง Uber Holdings International BV, Uber International BV, Besitz Holding BV และ Mieten BV

ตั้งแต่มิถุนายน 2559 บริษัทมีธุรกิจในอินเดียเพิ่มขึ้น 2.5 เท่าในแง่ของจำนวนการเดินทางและปริมาณสินค้าทั้งหมด ตามที่ Amit Jain หัวหน้า Uber India กล่าวในการให้สัมภาษณ์กับ Livemint เพื่อเสริมความแข็งแกร่งในอินเดีย สตาร์ทอัพเรียกแท็กซี่เรียก UberPASS นำร่องในเมืองใหญ่บางแห่ง ซึ่งช่วยให้ผู้โดยสารสามารถรับส่วนลดค่าโดยสารและสิทธิประโยชน์พิเศษมากมาย ซึ่งรวมถึงการเลือกไดรเวอร์ที่มีคะแนนสูงสุด การยกเว้นค่าธรรมเนียมการยกเลิก การเข้าถึงผลิตภัณฑ์และฟีเจอร์ระดับพรีเมียมสุดพิเศษ และอื่นๆ อีกมากมาย

นอกจากนี้ยังรุกเข้าสู่บริการส่งอาหารด้วยบริการ UberEATS ซึ่งช่วยให้ร้านอาหารในท้องถิ่นมีตัวเลือกในการจัดส่ง บริษัทยังอ้างว่าได้แต่งตั้งพันธมิตรจัดส่งหลายร้อยรายเพื่อให้ UberEATS ประสบความสำเร็จ ในขณะเดียวกัน PM Narendra Modi กำลังวางแผนที่จะร่วมมือกับบริษัทที่ให้บริการรถแท็กซี่ ซึ่งรวมถึง Uber เพื่อพยายามลดความแออัดของการจราจร การทดลองใช้ระยะเวลาสามเดือนจะช่วยให้รัฐบาลสามารถเข้าถึงวิธีการลดความเป็นเจ้าของรถยนต์ส่วนตัวในประเทศได้

ย้อนกลับไปในเดือนกรกฎาคม บริษัทให้บริการเรียกรถในอินเดียได้ประกาศการรวม Unified Payment Interface (UPI) บนแพลตฟอร์มของตน สิ่งอำนวยความสะดวกถูกรวมเข้าด้วยกันเพื่อให้ผู้ขับขี่ที่มีที่อยู่การชำระเงินเสมือนสำหรับธุรกรรม UPI จ่ายสำหรับการขี่โดยใช้แพลตฟอร์มการชำระเงินระหว่างธนาคาร

ชอบหรือไม่ การละเมิดข้อมูลเป็นเรื่องปกติที่เกิดขึ้นในปัจจุบัน ผู้เล่นรายใหญ่เช่น Yahoo, MySpace, Target Corp, Anthem Inc และ Equifax Inc ต่างก็ประสบกับการละเมิดความปลอดภัยบางประเภทในช่วงไม่กี่ครั้งที่ผ่านมา อย่างไรก็ตาม นั่นไม่ได้พิสูจน์ให้เห็นถึงการตัดสินใจของ Uber ในการปกปิดการละเมิดมาตราส่วนนั้น ในปีที่เต็มไปด้วยความขัดแย้งและความพ่ายแพ้ นี่อาจเป็นครั้งสุดท้ายในโลงศพที่ Uber เข้ามา?