電召汽車公司(Uber)周二(21日)公布在2016年遭黑客攻擊,被盜去全球5700萬名顧客及司機資料,惟公司付10萬美元(約78萬港元)予黑客銷毀資料,且未有向政府通報。
公司在網站指,在2016年10月黑客盜去了5700萬個顧客及司機名字、電郵地址及手提電話號碼,當中有60萬名司機的駕駛執照號碼亦在其中。事件發生後,公司未有向美國當局通報,在1年後才被揭發。
Uber的行政總裁霍斯勞沙希(Dara Khosrowshahi)周二(21日)在公司網頁指,公司並未發現有任何證據顯示,發生與事件相關的詐騙或盜用情況,公司正持續監控受影響的帳戶。他指認為這類事情不應發生,他對此事責無旁貸。
在事件曝光後,公司的安全總監蘇利萬(Joe Sullivan)離職,蘇利萬的律師克拉克(Craig Clark)被開除。
(BBC/彭博)
公司在網站指在2016年發生了一宗資料外洩事件。(網頁截圖)
不少港人都會使用的電召車應用程式Uber,被揭去年10月遭黑客入侵,全球5,700萬乘客與司機個人資料曾外洩。有網路保安專家分析指,Uber在事件中犯了雙重錯誤,當中最嚴重是將登入存有客戶個人資料雲端的「通行證」,放在大量員工均可登入的代碼庫,令黑客有機可乘,輕易盜取「通行證」進入雲端。
Uber被揭去年10月曾遭黑客入侵。(資料圖片)
有曾受聘多間大型公司的網路保安顧問分析指,登入儲存顧客個人資料的雲端戶口需要「通行證」,而Uber在事件中犯了雙重錯誤,首先Uber將「通行證」放進了能讓大量員工有權限登入的代碼庫,一旦員工的帳號不慎被入侵,便很客易讓黑客有機可乘,盜取「通行證」;另外,Uber代碼庫亦不應輕易曝露於公眾網路,毫無加密,否則會提高風險讓黑客入侵。
非涉整個公司系統 黑客易得手
該網路保安顧問指,暫未能推斷漏洞在哪,或許是黑客先入侵登入代碼庫的帳號,之後再盜取登入雲端的「通行證」,亦可能是代碼庫本身存在漏洞,由於上述問題均不涉及整個公司網路系統的保安,黑客相對較容易攻破單一代碼庫。
Uber私下付黑客78萬港元
事件源於Uber被揭去年10月曾遭黑客入侵,全球5,700萬乘客與司機資料外洩,當中包括名字、電郵地址和手機資料,更有60萬司機駕駛執照資料,至於信用卡資料及行程地點等資料則沒有被盜。Uber當刻並無主動公開事件,私下向黑客支付10萬美元(摺合78萬港元)「贖金」要求銷毀資料,並保密事件。
