优步用10万美元封口费掩盖去年5700万用户信息遭泄露事件

翻译：360代码卫士团队

周二，优步指出黑客在一次数据泄露事件中访问了用户的5700万份个人数据。这起数据泄露事件发生在一年多前，而该公司竟然选择交给黑客10万美元封口费的方式掩盖事实。

被盗信息包括全球用户的姓名、邮件地址和移动号码，而且位于美国的约60万名司机的姓名和驾照号码遭访问。

企业系统或基础设施并未受影响

优步公司的首席执行官Dara Khosrowshahi在一篇博客中指出，“我最近知悉2016年年末，公司外部的两名人员以不当方式访问了存储在第三方云服务中的个人数据”，并表示该事件并未影响优步的企业系统或基础设施。

彭博社报道称，攻击者从优步软件开发人员使用的一个GitHub私有站点中获得了凭证，这些凭证可用于访问存储在亚马逊AWS账户中的数据。

优步被指向黑客支付10万美元的勒索金作为封口费，但该公司并未提供任何相关支付详情，只是表示，“我们随后发现了这两名人员并获得他们的保证称所下载的数据已销毁。”

优步表示，“带头响应这次事件”的两名员工已离职。虽然优步并未提供这两名员工的姓名，但一些报道认为是首席安全执行官Joe Sullivan。Sullivan是Facebook公司的前安全主管，在2015年4月担任优步有史以来的第一位首席安全官。

破坏用户信任的做法让人震惊

Venafi公司的首席安全战略官Kevin Bocek指出，“优步发生的这次事件说明了未经保护的机器身份能导致数据泄露事件。访问云服务如亚马逊AWS的权限由SSH密钥确保安全，但SSH密钥通常不在安全团队的控制之下。很遗憾，我们常常发现访问AWS的SSH密钥在未经保护的状况下被遗弃在GitHub中。如果没有强大的SSH情报和安全控制，恶意攻击者能滥用这些密钥并躲避在安全控制之下。”

Vasco数据安全公司首席营销官John Gunn表示，“优步的数据泄露事件之所以产生如此大的影响并非是事件本身影响的用户范围巨大，而是该公司破坏了用户的信任也有可能违反了信息披露的法律。”

优步公司运营着一个漏洞奖励计划，鼓励安全研究员负责任地披露从服务中发现的漏洞问题。

2016年6月，葡萄牙安全咨询和审计公司Integrity的研究人员从优步的网站和服务中发现了十几个漏洞，包括能被利用访问司机和乘客信息的漏洞在内。

2015年，优步披露了两起安全事件：一起是未经授权方获得访问约5万司机驾照号码的权限，一起是一个软件bug暴露了数百名美国司机的个人详情。

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。

原文链接：

http://www.securityweek.com/uber-hacked-information-57-million-users-accessed-covered-breach