据 Financial Times 消息,Uber因在 2016 年的一次网络攻击中未能保护用户的个人信息而被荷兰和英国罚款共计 117 万美元。其中,英国罚款 38. 5 万英镑(约 49. 1 万美元),荷兰罚款 60 万欧元(约 67. 9 万美元)。
黑客于 2016 年 11 月攻击了 Uber 的云服务器,并下载了 16 个大文件,全球 5700 万人的个人信息被非法获取。其中包括司机和消费者的姓名、电话号码、电子邮件地址、订单以及驾驶路线等等,还有少数司机的驾照号码被盗取。
在所有受害者中,现已知包括 17.4 万荷兰公民,270 万英国用户,8.2 万英国司机以及 60 万名美国司机等。
今年 9 月,该公司在与美国所有 50 个州和哥伦比亚特区达成协议后,被要求支付 1.48 亿美元罚款并承诺加强数据安全保护。
英国政府网络安全监管机构信息专员办公室(ICO) 在调查后表示,2016 年,由前 Uber CEO 卡兰尼克领导的公司在发现黑客攻击后,不但没有第一时间报警或告知被泄露信息的用户,反而支付给黑客 10 万美元以求息事宁人。
据《纽约时报》披露,这 10 万美元是 Uber 作为“漏洞赏金”给予黑客的。虽然科技公司向发现该公司系统漏洞的“白帽子”(可以理解为不做坏事的黑客)支付赏金的做法非常普遍,但区分“白帽子”与黑客的一个很简单的标准是,白帽子不会在发现漏洞后先自行下载泄露信息,再拿着信息去要挟公司“给我 6 位数的赏金我就删除”。这种行为完全是勒索。
卡兰尼克本人批准了这笔 10 万美元的赎金。更滑稽的是,Uber 还曾试图向该黑客提供一次全额报销的旧金山之旅(旧金山是 Uber 所在地),想请对方来讨论安全技术,并答应要将他介绍给对他技术感兴趣的公司。但被该黑客拒绝。
美国伊利诺伊州总检察长丽莎·马迪根称,此案是她见过的最令人震惊的案件之一,Uber 在明知隐私泄露的前提下将此案隐瞒了长达一年的时间,这是“不可原谅的”。
关于罚款金额的一个细节是,虽然英国比美国的受害者数量更多,但罚金额度却更少。主要是因为这起数据泄露事件发生在 《通用数据保护条例》(GDPR)颁布之前,所以英国监管机构是基于 1998 年的数据保护法案来调查此次事件的。该法案仅允许监管机构处以最高 50 万英镑的罚款。
如果按照今年颁布的 GDPR 来审理此案,则监管部门可以对公司处以高达 2000 万欧元或者相当于其利润百分之四的罚金。2018 年 5 月后发生的新案件都将按照这个标准来执行。
Uber 在随后发表声明称,很高兴 2016 年的数据泄露事件终于审理结束。并表示,自 2016 年以来,该公司已经改善了数据管理条例,并在今年聘请了第一位首席隐私官和数据保护官。
“我们对领导层进行了重大调整,以确保向监管机构和用户保持适当的透明度。我们从错误中吸取教训,并继续致力于每天赢得用户的信任。”
题图/visualhunt