Uberは2016年にデータ漏洩事件を起こし、5700万人の乗客とドライバーが影響を受けていた

次の記事

DJIに脆弱性報告のハッカー、報奨金3万ドルを突き返す。実績公表禁じる契約、法的措置ちらつかされ反発

Uberは2016年にデータ漏洩を引き起こし、乗客とドライバーの両方を含む5700万人に影響を与えていた。漏洩したのは名前、電子メールアドレス、そして電話番号だ。その影響を受けたグループには、5000万人の乗客と700万人のドライバーが含まれていたが、ブルームバーグからの新しいレポートによれば、およそ60万人分の米国人ドライバーのライセンス番号も含まれていたということだ。

Uberはこの事件を規制当局や影響を受けた顧客たちに報告しておらず、その代わりに、レポートによれば、漏洩の事実を口外せずデータを削除することと引き換えに「ハッカーたち」に対して10万ドルを支払ったということだ。さらに、セキュリティに影響を及ぼす可能性のある番号や、顧客の移動履歴情報などは攻撃によって奪われておらす、漏洩した情報もこれまでに利用されたとは考えられていないとレポートには書かれている。しかしどこに責任があるのかは書かれていない。

Uberの新CEOであるDara Khosrowshahiは、ブルームバーグに対して電子メールで、事件の「言い訳はしない」が、「これは起こってはならないことだった」と考えていると語っている。共同創業者のTravis Kalanickが同社を去ったあと、その後任として8月にこの配車サービス会社のCEOとして着任したKhosrowshahiは、その攻撃以降、Uberは脆弱性を取り除き、セキュリティ指標を引き上げたが、報告の義務を果たしていなかったと語った。

ブルームバーグによれば、Kalanickは事件の起きた1ヶ月後の2016年11月には、早くもハックの事実を知っていた。Uberのセキュリティ担当役員(CSO)であるJoe Sullivanと、CSOの主席代理人の2人もまた今週会社を去った。サイバー攻撃の事実の秘匿に中心的役割を果たしていたためだ。

レポートによれば、攻撃者は、Uberエンジニアたちが使っていたプライベートのGitHubサイト用の、Uber Amazon Web Servicesアカウントのログイン認証情報を得ることによって、攻撃が可能になったということだ。

漏洩について書かれたブログ記事では、Khosrowshahiはどのように同社が事故の影響に対処するかについての計画を述べている。たとえば、元NSAの担当弁護士を招聘し、Uberのセキュリティ規約を作成し、ライセンス番号が漏洩したドライバーたちに対しては通知を行なう。Uberは、ドライバーたちに対して通知を行なうだけでなく、クレジット調査やID盗難防止サービスも同時に提供している、とはいえプログポストの中には「事件と関連すると思われる詐欺や不正使用の兆候は見つかっていない」と書かれている。

私たちはUberにさらなるコメントを求めている。もし回答を受け取った場合には記事を更新する。

[原文へ]
(翻訳:Sako)

FEATURED IMAGE: DAVID PAUL MORRIS/BLOOMBERG VIA GETTY IMAGES