Uberは、刑事訴追を回避するための米国司法省との和解の一環として、2016年10月に発生した大規模なサイバーセキュリティ攻撃を隠蔽し、5,700万人の顧客とドライバーの機密データを公開したことを認めました。
隠蔽工作で起訴されないようにするために、Uberは「その職員が2016年11月のデータ侵害を [Federal Trade Commission] 会社でのデータセキュリティに関するFTCの調査が保留されているにもかかわらず、」 DOJからのプレスリリースによると。
ハッカーは盗まれた資格情報を使用してプライベートソースコードリポジトリにアクセスし、独自のアクセスキーを取得しました。これを使用して、Uberのユーザーとドライバーに関連する大量のデータ(60万人の運転免許証を持つ約5,700万人のユーザーレコードに関連するデータを含む)にアクセスしてコピーしました。数字。
データ漏えいは1年後に明らかになりました 大ヒットレポート ブルームバーグ。 同社は、データを削除し、メディアや規制当局に違反を公表しないために、ハッカーに10万ドルの身代金を支払ったとされています。 当時、トラビス・カラニックが彼の立場から追放された後、前のCEOであるトラビス・カラニックから引き継いだ、新しく任命されたUberのCEOであるダラ・コスロシャヒは、隠蔽が行われるべきではなかったことを認めました。
和解によると、コスロシャヒと彼のチームは、1年後にそれを発見した後、一般市民、運転手、および政府当局に違反を報告しました。 会社を起訴しないという決定は、一部には、違反を開示するというUberの決定と、将来のサイバー攻撃を政府の規制当局に報告するという2018年のFTCとの合意に基づいていました。 和解はまた、Uberがデータ侵害に関連する民事訴訟を解決するために1億4800万ドルを支払ったことを認めています。
違反が発生してから1か月後に違反を知ったカラニックの下での会社のリーダーシップと比較すると、それは急激な回復でした。 当時のユーバーの最高セキュリティ責任者であるジョー・サリバンも隠蔽工作に加担し、2017年にコスロシャヒによる彼の解雇につながりました。サリバンは後になりました 司法妨害で起訴 FTCおよびUberの管理からデータ侵害を隠そうとしたことに対して。 彼の事件は 2022年9月に裁判に行く。
このハッキングには、世界中で5,000万人を超えるUberライダーの名前、メールアドレス、電話番号が含まれていましたが、700万人を超えるUberドライバーは、約60万人の米国のドライバーの運転免許証番号に加えて同様のデータを公開していました。