Uber被罚1.48亿美元！皆因欺瞒用户与黑客私了

近日，据《纽约时报》（The New York Times）报道，23 岁的瓦西里·梅里埃克（Vasile Mereacre）和 26 岁的布兰登·格洛弗（Brandon Glover），在加州圣何塞联邦法院对被起诉的黑客入侵和勒索罪名供认不讳，明年或将面临最高 5 年的联邦监狱刑期，并可能被处以最高 25 万美元的罚款。

这一事件，使美国科技公司、打车应用开发商优步（Uber）和全球最大职业社交网站领英（LinkedIn）旗下的教育资源网站 Lynda 陷入了代价高昂的数据泄露丑闻之中。

 

尤其是 Uber，其不仅向黑客妥协支付了 10 万美金，而且也因为这一行为，因小失大，被处以 1.48 亿美元的巨额罚款，并不得不接受长达 20 年的隐私审计。

 

2016 年，黑客先是窃取了 Uber 和 Lynda 员工的 GitHub 账户，在这些 GitHub 账户上获得了亚马逊云服务（Amazon Web Services，AWS）的认证信息，然后利用这些认证信息访问存有公司数据的亚马逊服务器。

 

入侵成功后，黑客下载了私人客户信息并匿名联系了 Uber 和 Lynda，勒索他们以比特币的形式支付数百美元的赎金。

 

在此次事件中，黑客获取了 Uber 5700 万用户的隐私数据，包括乘客和司机的姓名、电话号码以及电子邮件地址等。

 

 

图 | Uber（来源：维基百科）

 

为此，Uber 妥协了。据法庭文件证实，2017 年 1 月，Uber 的安全团队分别在佛罗里达州和加拿大以加密货币的形式向黑客支付了共计 10 万美元的赎金，但要求黑客签署一份保密协议，防止他们使用这些数据，或公开披露这一安全漏洞。

 

Uber 将这一安全漏洞保密了一年多，直到 2017 年 11 月，优步的新领导层才意识到这一事实，并决定将其公之于众。结果，Uber 收到了1.48 亿美元的巨额罚款，并不得不同意接受长达20 年的隐私审计。

 

伊利诺伊州总检察长丽莎·麦迪根（Lisa Madigan）表示，Uber 未能报告 2016 年的数据泄露事件，“这是我们所见过的最严重案例之一，一年的延误是不可原谅的，而且我们不会允许 Uber 或任何其他公司完全无视有关数据泄露的法律”。（CoinDesk中文版注：美国相关法律规定，公司有义务立即将损害用户个人信息的未授权数据泄露通知给客户。）

 

但是，前 Uber 首席安全官乔·沙利文（Joe Sullivan）不仅向黑客做出妥协并支付了这笔勒索赎金，也没有将此次安全漏洞提醒给公司用户。

 

美国加利福尼亚州的检察官大卫·安德森（David Anderson）表示：“像 Uber 这样的公司是客户个人信息的照看者，而不是所有者。”

 

“不要太在意你的形象或声誉，要关注他人遭受的实际损失，与执法部门合作，及时报告，” 安德森谈到那些可能试图将数据泄露保密的公司时表示。

 

此外，负责此案的联邦调查局特工约翰·本内特（John Bennett）也表示，“为了在网络安全战的最前线与黑客交涉，我们非常依赖与 Uber 这样的私营巨头公司进行公开对话。如果他们愿意迅速向我们报告此类黑客事件，将有利于我们及时找到并逮捕犯罪分子。”

 

而另一边，同样遭受黑客威胁的Lynda 选择了向法律求助。

 

2016 年 12 月，Lynda 透露约有 55,000 用户信息遭黑客窃取，并将此事向另外 950 万用户发出了警告。与此同时，与 Uber 不同的是，Lynda 拒绝支付赎金。随后发现，这两名男子正是 2016 年 Uber 入侵事件的犯罪分子。

 

“我们感谢美国检察官办公室正在进行的工作，追究并将 2016 年偷盗 Lynda 用户信息的犯罪分子绳之以法。我们很高兴看到该事件的最终结果。”领英发言人在一份声明中说。

 

诚然，面子固然重要，但是面对黑客等 “恶势力” 的不法行为，还是要及时走法律渠道来解决问题，不要一味妥协，因小失大。