300萬英國乘客資料被洩露 優步被罰款38.5萬英鎊
[ 摘要 ]英國資訊專員辦公室表示,優步沒有告訴任何使用者他們的資料被洩露了。直到攻擊發生12個月後,該公司才開始對賬戶欺詐行為進行監控。
騰訊科技訊 英國資訊專員辦公室(Information Commissioner's Office,ICO)宣佈對優步在歐洲的業務處以38.5萬英鎊的罰款,因為優步在2016年遭到黑客攻擊,300萬英國使用者的資料被洩露。
2016年11月,攻擊者入侵優步雲伺服器,下載了16個大型檔案,其中包括全球3500萬用戶的資料,比如乘客的全名、電話號碼、電郵地址和他們註冊該服務的地點。
還有370萬優步司機也受到影響,其中8.2萬來自英國,他們的週薪、行程摘要, 甚至有些司機的駕駛執照號碼都被洩露。
ICO表示,造成黑客入侵的原因是優步的資訊保安工作存在問題,而優步美國公司不僅沒有披露此次攻擊事件,還滿足了黑客的要求,向黑客支付了10萬美元作為“漏洞賞金”。這種賞金在安全領域很常見:如果你在一家公司的系統缺陷受到攻擊之前,發現了他們的安全漏洞,並通知了這家公司,公司會獎勵你。
ICO寫道:“優步美國公司沒有遵循其漏洞獎勵計劃的正常流程。在這起事件中,從優步美國公司拿到錢的外部攻擊者,與合法的漏洞賞金領取者存在本質區別:後者會負責任地披露漏洞,而前者惡意利用該漏洞,獲取了優步使用者的個人資訊。”
ICO表示,優步沒有告訴任何使用者他們的資料被洩露了。直到攻擊發生12個月後,該公司才開始對賬戶欺詐行為進行監控。
不過,優步遭到了從輕處罰,一是因為優步在歐洲的分公司也沒有被告知此事,所以無法把此事報告給ICO,二是因為沒有證據表明被洩露的資料遭到了濫用。
今年9月,在美國,優步美國公司因為沒有向司機通報資料洩露事件,被處以罰款1.48億美元。
優步在一份宣告中表示:“我們很高興給2016年的這起事件畫上句號。在歐洲機構進行調查期間,我們已經表明,在入侵事件發生後,我們持續對優步系統的安全性進行了技術上的改進。我們還對領導層進行了重大調整,以確保為監管機構和使用者提供適當的透明度。今年早些時候,我們聘請了公司的第一位首席隱私官、資料保護官,和一位新的首席信任安全官。我們從錯誤中吸取了教訓,繼續為贏得使用者的信任而努力。”
由於事情發生在2016年,所以英國是根據1998年《資料保護法》對優步處以罰款的,其中規定罰款最高金額為50萬英鎊。而根據2018年《一般資料保護法案》,優步會被處以遠遠更高的罰款,最高可達優步全球營收的4%。(騰訊科技編譯/Kathy)