Uberは2016年、乗客とドライバー合わせて5,700万人の個人情報が盗まれたと発表しました。当初同社は、ハッカーに対し、情報のコピーを削除し、秘密保持契約に署名する条件として10万ドルを支払うことで、データ盗難を隠蔽しました。しかし、取締役会による事業慣行に関する調査と、その後のブルームバーグによるハッキングに関する報道を受けて、Uberはついに盗難を公表しました。
影響を受けた情報には、Uberの乗客5,000万人とドライバー700万人の氏名、メールアドレス、電話番号が含まれています。さらに、同社のドライバー(いわゆる「ドライバーパートナー」)60万人の運転免許証番号も不正に取得されました。Uberは、免許証番号が盗まれたドライバーに通知し、無料の信用情報監視サービスと個人情報盗難防止サービスを提供すると発表しましたが、乗客に連絡する予定があるかどうかは明らかにしませんでした。
同社は、これらの情報は自社のインフラから盗まれたものではないと強調した。盗まれたのは「サードパーティのクラウドベースサービス」だった。ブルームバーグによると、問題のサービスはAmazon Web Services(AWS)であり、攻撃者はサービスに侵入したというよりは、UberのエンジニアがGitHub上に保護されていない状態で保存していた認証情報を盗んだという。これらの認証情報を入手できれば、データの取得は容易だった。
過失よりもさらに悪かったのは、Uberが(ほぼ成功した)盗難を隠蔽しようとしたことです。ハッカーに情報を削除し、秘密保持契約に署名させる見返りに10万ドルを支払ったことに加え、Uberはこの支払いをバグ報奨金プログラムの一環であると偽装し、セキュリティ対策を調査している規制当局に開示しませんでした。次期CEOのダラ・コスロシャヒ氏も、6月に就任した際にこの事件について知らされていませんでした。
コスロシャヒ氏はブログ投稿でこう述べた。
なぜ1年も経って今になってこの件について話しているのか、と疑問に思われるかもしれません。私も同じ疑問を抱き、すぐに何が起こったのか、そしてどのように対応したのかを徹底的に調査するよう求めました。特に昨年、影響を受けた個人や規制当局への通知を怠ったことについて学んだことが、私がいくつかの対策を講じるきっかけとなりました。[…] このようなことは決して起こるべきではなかったし、私は言い訳をしません。過去を消し去ることはできませんが、Uberの従業員全員を代表して、私たちは過ちから学ぶことをお約束します。私たちはビジネスのやり方を変え、あらゆる意思決定の中心に誠実さを置き、お客様の信頼を得るために尽力しています。
ニューヨーク・タイムズ紙によると、その措置には、国家安全保障局の元法務顧問で国家テロ対策センター所長のマット・オルセン氏を招き、セキュリティチームの指揮方法について助言してもらうこと、最高セキュリティ責任者のジョー・サリバン氏とセキュリティおよび法執行担当の法務責任者のクレイグ・クラーク氏を解雇すること、影響を受けたドライバーに通知して詐欺防止策を施すこと、影響を受けた他のアカウントにフラグを立てることなどが含まれている。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
Uberの侵害は、EquifaxやYahoo!など、はるかに多くの人々の詳細な情報を収集した企業による侵害に比べれば、明らかに見劣りする。しかし、今回の侵害への対応は、最初から正しいことをしようとせず、許しを乞うだけの同社のリーダーシップスタイルを浮き彫りにしている。つまり、ハッカーに金を支払わず、その金を世間から隠蔽するといったことはしないということだ。コスロシャヒ氏は、この状況を変えるかもしれない。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
