優步承認隱瞞5700萬用戶數據遭竊

本報駐美國特約記者 鄭香君　本報特約記者 汪品植

美國網絡出租車服務公司優步（Uber）當地時間22日承認，其在2016年10月曾遭全球性黑客攻擊，造成5700萬名客戶和司機的個人數據失竊。但據美國媒體的報道，Uber當時并沒有第一時間通知信息遭竊的用戶和司機，也沒有向監管部門報案，而是向黑客支付了10萬美元讓其刪除竊取的數據，并隱瞞長達一年，直到美國彭博社等媒體曝光此事。

據英國《衛報》22日報道，剛剛擔任優步首席執行官不久的科斯羅薩西發表聲明，承認報道內容，并稱：“這一切都不應發生，對此我不會去找任何借口。”據悉，被盜的用戶信息除了乘客姓名、郵箱和電話號碼之外，還有約60萬名司機的駕照號碼。但諸如信用卡數據和社保號碼等財務信息并未被盜。優步強調，經網絡安全專家確認，黑客已銷毀所有敏感信息，公司也已向美國監管部門匯報此事件。優步將在未來幾天通知受影響賬戶的所有者，同時宣布對信息失竊的個人提供免費支持，包括協助監控信用賬戶、加強防身份盜竊保護等。

時任優步首席安全官沙利文和他的副手克拉克因此遭到公司解雇。沙利文2015年加入該公司，此前曾一度擔任聯邦檢察官，他在應對黑客攻擊中做出了關鍵決定，即隱瞞相關信息。事發一個月后，優步創始人、前總裁卡拉尼克才獲知此消息。

最早曝光此事的彭博社稱，優步在亞馬遜云端服務上的賬戶信息并未加密，這給了黑客可乘之機。按網絡安全專家的說法，在亞馬遜云端存儲未加密信息的錯誤是“不可原諒的”。也有網絡安全專家指出，發現信息被竊不立即通報用戶和政府，而是想辦法藏著掖著，完全是“業余的”做法，也根本不可能藏得住。

近年來，美國擁有海量數據的知名企業接連遭黑客攻擊，造成包括雅虎郵箱、社交網站MySpace、個人信用報告公司Equifax等在內數以億計用戶的數據被盜。但這次讓人大跌眼鏡的是優步公司在數據被盜取之后的反應。媒體分析稱，優步掩蓋黑客竊密的行為應承擔什么樣的法律責任目前還不好說。鑒于美國是判例法國家，目前多家美國法庭都在審理數據失竊案，而這些法庭對案件的具體態度大不相同，有的法官同意用戶聯合起來對企業提出集體訴訟，而有的則要求原告自行證明被泄密的信息確實遭到濫用造成自己的損失。

這已經不是優步在類似問題上的“初犯”。彭博社稱，2014年優步也曾發生5萬名司機個人信息遭泄露事件，當時優步公司的代理律師指責是競爭對手所為，但黑客身份一直未得到確認。2016年1月，紐約總檢察長因其未及時披露2014年的數據被竊事件向優步開出兩萬美元罰單，優步雖拒絕承認有違規行為，不過后來接受了罰款。▲