マイキー・キャンベル
· 1分で読めます
ウーバーは火曜日、自社のシステムへの大規模なハッキングにより顧客5000万人と運転手約700万人のデータが流出したことを認めた最新のテクノロジー企業となった。同社はこの情報漏洩を秘密にするために10万ドルを支払った。
配車サービス会社はブルームバーグに対し、ハッカーらが2016年にさかのぼる攻撃で乗客の名前、メールアドレス、電話番号を収集したと語った。盗まれたデータキャッシュには、約60万件の米国運転免許証番号を含む運転手の個人情報が含まれていた。
Uberは、社会保障番号、クレジットカード情報、乗車場所などの機密情報はハッキングで盗まれなかったと述べている。
報道によると、2人のハッカーがUberのソフトウェアエンジニアが使用していたプライベートGitHubサイトに侵入し、ログイン認証情報を入手した。この認証情報はその後、Uberが割り当てたAmazon Web Services(AWS)アカウントへのアクセスに使用された。AWSデータベースには乗客とドライバーの情報アーカイブが含まれており、ハッカーはこれを利用してUberに身代金を要求した。
Uber 社は、情報漏洩について当局に報告し、免許証情報が盗まれたドライバーに警告する義務があったが、代わりに 10 万ドルを支払うことでデータを削除することを選択した。
「事件発生当時、当社はデータ保護のため直ちに措置を講じ、当該個人による不正アクセスを遮断しました」と、UberのCEOであるダラ・コスロシャヒ氏は述べた。「また、クラウドベースのストレージアカウントへのアクセスを制限し、管理を強化するセキュリティ対策も実施しました。」
今年初めに会社を追放された当時のCEO、トラビス・カラニック氏は、サイバー攻撃の発生から約1か月後の2016年11月にその事実を知らされました。ハッキングを秘密裏に隠蔽するための秘密裏の行動を主導したのは、2015年にFacebookから採用され、同社のセキュリティ業務を統括していた最高セキュリティ責任者(CSO)のジョー・サリバン氏でした。
サリバン氏と彼のチームは今年、数々の疑わしい決定を下しており、Uberの取締役会が委託した調査の中心人物となっている。この調査により、本日報じられたハッキング事件と、その後の隠蔽工作が明らかになった。
ウーバーは今週、この暴露を受けて、サイバー攻撃を隠蔽したとしてサリバン氏と、サリバン氏の直属の上級弁護士クレイグ・クラーク氏を解雇した。
ウーバーはその後、侵入事件の調査のためサイバーセキュリティ企業マンディアント社を雇い、また、国家安全保障局の元法務顧問マット・オルセン氏を雇い、同社の苦境に立たされているセキュリティチームの再編を支援している。
