優步瞞報黑客入侵5700萬用戶資料外泄

美國優步公司21日承認，這家打車軟件服務運營商沒能及時公布去年底發生的一起黑客入侵事件，事件導致5700萬名用戶資料外泄。

美國媒體披露，為平息事件，優步當時付了10萬美元（約合66萬元人民幣）“封口費”，換取黑客刪除竊得的數據。

【數據遭竊】

彭博新聞社報道，那次黑客入侵發生在去年10月。兩名黑客從優步使用的第三方云計算服務器上竊取了數據。

今年8月就職的優步現任首席執行官達拉·霍斯勞沙希21日在一份聲明中說，他本人最近才知道這一事件。

根據優步提供的數據，世界各地約5700萬名用戶的姓名、電子郵箱地址、手機號碼被黑客下載。其中，60萬名美國司機的姓名、駕照號碼等信息也一并遭竊。但事件沒有造成位置記錄、信用卡號、社會安全號和出生日期等重要信息外泄。

霍斯勞沙希說，“事發后，優步立即采取措施保護遭竊數據，并關閉未經授權的個人訪問渠道”。

他還表示用戶無需擔心，因為“我們至今沒有發現任何證據顯示有與此事相關的詐騙或濫用行為發生。盡管如此，我們眼下正在監控受影響賬戶，將其予以標記，以便提供進一步的防詐騙保護措施”。優步還將為受影響的司機提供免費信用監控服務。

【刻意隱瞞？】

按照彭博社的說法，優步數據外泄事件沒有造成大規模惡意影響與公司事發后支付“贖金”有關。事實上，去年11月，優步時任首席執行官特拉維斯·卡蘭尼克就已獲知黑客入侵一事。為隱瞞此事，優步當時向兩名黑客支付10萬美元，以換取黑客銷毀所竊數據。

不過，不愿公開姓名的消息人士說，優步董事會此前曾就入侵一事進行調查，結論顯示，卡蘭尼克和時任總法律顧問薩爾·約奧均未參與隱瞞決定。

優步眼下沒有證實支付“贖金”一事，但表示，首席安全官喬·沙利文及其副手克雷格·克拉克因對黑客入侵事件處理不當，本周被解雇。優步還承認，的確未能履行義務，及時向監管部門報告重大數據泄露事件。

“大家也許會問，為什么我們到現在，也就是事發一年后才談論此事，”霍斯勞沙希說，“我也有同樣的疑問。所以我立即要求對事件進行全面調查。”

卡蘭尼克通過一名發言人表示，拒絕就黑客入侵一事置評。

【丑聞不斷】

這并非優步首次涉及用戶數據外泄事件。

英國廣播公司報道，今年1月，優步因未能及時披露2014年一起黑客攻擊事件而被監管部門處以2萬美元（13萬元人民幣）罰款。這一事件影響程度較輕。

此外，公司還多次曝出性騷擾和性別歧視事件。今年6月，卡蘭尼克由于深陷性侵丑聞、與投資者關系不佳等原因辭職。

作為上任不久的新任首席執行官，霍斯勞沙希說：“不應該發生這些事情，我不會為此找借口。我無法抹去過往，但我可以代表優步的每名員工承諾，我們將從錯誤中吸取教訓。我們正在改變經營方式，在作每個決定時，都將誠信作為核心，努力贏得客戶的信任。”

不過，一些安全專家質疑，霍斯勞沙希的承諾無法為優步收買黑客的行為開脫。

“真正可怕的事情是，優步支付了‘贖金’，讓這起事件消失。這種行為就好像凌駕于法律之上，”計算機安全企業Cybereason首席安全官薩姆·柯里說，“那些有義務維護誠信、保護數據機密的人卻隱瞞了（黑客入侵一事）。”

計算機安全專家格雷厄姆·克盧利在社交媒體說：“企業可以因遭受黑客入侵而請求公眾諒解，但許多公眾很難原諒故意掩蓋事實的行為。”

美國聯邦調查局官員和一些私營網絡安全企業向路透社記者披露，盡管企業向黑客支付“贖金”的行為鮮少被公開，但這種情況眼下越來越多。（劉曦）【新華社專特稿】