2017年11月22日，Uber（优步）新任首席执行官Dara Khosrowshahi表示，2016年10月，全球共有5700万名乘客的个人资料遭黑客盗取，大约700万名Uber司机的个人信息也被盗取，涉及到姓名、电子邮件地址和电话号码等信息。Uber称，社保账号、信用卡信息细节、出行位置信息或其它数据并未泄露。

当时Uber并未公布这一数据泄露事件，而是向黑客支付了10万美元的“封口费”，要求删除泄露的数据，并将这一事件保密。

据《纽约时报》披露，这 10 万美元是 Uber 作为“漏洞赏金”给予黑客的。虽然科技公司向发现该公司系统漏洞的“白帽子”（可以理解为不做坏事的黑客）支付赏金的做法非常普遍。

但区分“白帽子”与黑客的一个很简单的标准是，白帽子不会在发现漏洞后先自行下载泄露信息，再拿着信息去要挟公司“给我 6 位数的赏金我就删除”。这种行为完全是勒索。

Uber联合创始人，卡兰尼克本人批准了这笔 10 万美元的赎金，更有意思的是，Uber 还曾试图向该黑客提供一次全额报销的旧金山之旅（旧金山是 Uber 所在地），想请对方来讨论安全技术，并答应要将他介绍给对他技术感兴趣的公司。但被该黑客拒绝。

2018年9月26日，加州总检察长Xavier Becerra和旧金山地区检察官George Gascon宣布与Uber达成1.48亿美元的和解协议（戳蓝字可阅读），以解决Uber违反数据泄露报告和数据安全法律的指控。

当地时间11月27日，英国政府网络安全监管机构信息专员办公室(ICO) 表示，Uber这一做法是对用户和优步司机信息安全性的漠视。

ICO将这次的黑客行为定义为“严重违法行为”。英国对其罚款 38. 5 万英镑（约 49. 1 万美元）。

英美两国对Uber的处罚数额相差如此之大，主要是因为英国监管机构是基于1998年数据保护法案来调查此次事件，该法律仅允许最高罚款金额为50万英镑。

而最新的欧盟法律则允许监管部门对公司处以高达2000万欧元或者相当于利润百分之四的罚金，这适用于2018年5月后发生的新案件。

目前，ICO正在对案件进行进一步的调查。并指出，已经在Uber的系统中发现了一系列可获得数据的安全漏洞，黑客从一个Uber运营的云储存系统中可以下载数以百万计的客户的敏感信息。

ICO已掌握2016年10月和11月被攻击的犯罪事实。

Uber 在随后发表声明称，很高兴 2016 年的数据泄露事件终于审理结束。并表示，自 2016 年以来，该公司已经改善了数据管理条例，并在今年聘请了第一位首席隐私官和数据保护官。

参考来源：

• 好奇心研究所

• 凤凰网科技

往期热门资讯：                                        

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com