Uberから5700万件のユーザー情報が漏洩。10万ドルを支払いインシデント自体を隠ぺい
カーシェアリングエコノミーの代名詞でもある、配車サービス企業のUberが約5,700万件のデータが漏洩する被害に遭った事が、同企業のブログで明らかになった。
攻撃はどのように行われたか
Uberの情報漏えいは、以下のように発生したという。
- 2人の攻撃者は、Uberに所属するソフトウェアエンジニアの個人GitHubアカウントを入手。
- Uberがユーザーデータを管理しているAWSクラウドサーバーに侵入してデータをダウンロード
- 攻撃者は、データを盗み取った事実をUberに告げ、10万ドルを要求した。
実は、アカウントを入手されたUberのソフトウェアは、AWSにログインする際に必要なセキュリティキーをGitHub上に保管していたと言うのだ。
大規模なインシデントにも関わらず隠ぺい
Uberの情報漏えいは、実は2016年の10月に発生しており、世界中の5000万人のユーザーと、700万人のドライバーの名前、Eメールアドレス、電話番号、運転免許証の番号が流出した。
2016年の10月といえば、Uberはユーザーのプライバシーの侵害についてアメリカの法執行機関の調査を受けていた頃だ。
しかしUberはその時に情報漏えいが発生した事実を公表せず、今まで黙っていた。
UberのCSOを務めるJoe Sullivan氏は、同企業のセキュリティチームとインシデントに関して隠ぺいをする事に決め、個人情報をダウンロードした攻撃者の要求を飲み、10万ドルを支払った。
さらに、Uberは、2人の攻撃者に対して”情報漏洩に関する一切の黙秘”の署名をさせた。
普通、10万ドルの大金が社外の人間に支払われた際には気づかれるものだが、この時UberはBug Bountyとして攻撃者に支払いを行なったようだ。
今年の9月に新しくUberのCEOに就任したDara Khosrowshahi氏は以下のように語る。
こうした事は起こるべきではなかった。(就任したばかりだが)私は言い訳をするつもりはない。今後のビジネスのやり方を変革していくつもりだ。
実は、Uberの共同創始者であるKalanick氏は、情報漏えいが発生した一ヶ月後の2016年11月に事実を知らされたのだが、プライバシー侵害に関する取り調べを受けていた最中だったからか、公表をしなかったようだ。
問題が噴出するUber
Uberが創設されたのは2009年。
それ以来、最低でも以下の5点の問題を指摘され多くの人達から問題視されていた。
- 贈賄の可能性
- 不正なソフトウェア使用
- 価格設定への疑問
- 知的財産の盗取
最近多発する大規模な情報漏えい
昨今、Yahoo, MySpace, Target Corp, Anthem, Equifaxなど、大企業の情報漏えいが多発している。
Equifaxの時には、情報漏えいが発生した時にCEOが自社株が暴落する前に売り払った事があり多くのメディアでも批判されていた。
今回のUberの情報漏えいに対する会社としての対応も、Uberユーザーの信頼を裏切るだけでなく、法律に触れる可能性があるとされている。