Uberから5700万件のユーザー情報が漏洩。10万ドルを支払いインシデント自体を隠ぺい – 忙しい人のためのサイバーセキュリティニュース

Uberから大規模個人情報漏洩があったのに、犯人要求に応じて金銭を支払い、漏洩事実を隠蔽していた。

Uberの情報漏えいは、以下のように発生したという。2人の攻撃者は、Uberに所属するソフトウェアエンジニアの個人GitHubアカウントを入手。Uberがユーザーデータを管理しているAWSクラウドサーバーに侵入してデータをダウンロード攻撃者は、データを盗み取った事実をUberに告げ、10万ドルを要求した。実は、アカウントを入手されたUberのソフトウェアは、AWSにログインする際に必要なセキュリティキーをGitHub上に保管していたと言うのだ。

情報源: Uberから5700万件のユーザー情報が漏洩。10万ドルを支払いインシデント自体を隠ぺい – 忙しい人のためのサイバーセキュリティニュース

Uberの情報漏えいは、実は2016年の10月に発生しており、世界中の5000万人のユーザーと、700万人のドライバーの名前、Eメールアドレス、電話番号、運転免許証の番号が流出した。

2016年の10月といえば、Uberはユーザーのプライバシーの侵害についてアメリカの法執行機関の調査を受けていた頃だ。

しかしUberはその時に情報漏えいが発生した事実を公表せず、今まで黙っていた。

UberのCSOを務めるJoe Sullivan氏は、同企業のセキュリティチームとインシデントに関して隠ぺいをする事に決め、個人情報をダウンロードした攻撃者の要求を飲み、10万ドルを支払った。

さらに、Uberは、2人の攻撃者に対して”情報漏洩に関する一切の黙秘”の署名をさせた。

普通、10万ドルの大金が社外の人間に支払われた際には気づかれるものだが、この時UberはBug Bountyとして攻撃者に支払いを行なったようだ。

あらまあ。
これはマズいでしょう。

コメントを残す

メールアドレスが公開されることはありません。