打车软件Uber去年曾发生一起不为人知的大规模数据泄密事件,黑客利用Uber的数据库漏洞,成功盗取了5700万名司机和乘客的个人数据,而Uber不彻查事件,反而给了黑客10万封口费让他别声张,就这样瞒了一年。
泄密事件发生在2016年10月,泄露的数据内容包括5000万名Uber乘客的姓名、电邮地址和手机号码泄露和700万名Uber司机的个人信息,其中包括60万名美国司机的牌照号码。
在美国,这个数量级的优质数据泄露可以说是足够让Uber被骂惨的。
Uber高管们怕了,悄没声息地把这事儿压了下来——他们向攻击方支付了10万美金,要求对方删除这些数据,并且对外保持沉默。
但黑客到底真删还是假删,这事儿谁说的准呢?泄露的数据泼出的水,黑客是否将这些数据挪作他用,谁也无法保证。
有人发现,就在泄密事件之前,Uber曾推出“黑客找错活动”——只要找出Uber系统当中的漏洞和错误,官方就提供3000美元到1万美元的奖金。
黑客很可能因这项活动而介入Uber、进而发现漏洞,但黑客显然对1万美金没有兴趣,在美国网络黑市上,5700万份个人资料明显更值钱,从Uber的10万美金封口费来看,黑客也是妥妥地赚大了。
很耐人寻味的一点是,时任CEO在活动举办不久就离职了。
泄密事件直到新任CEO上台才算大白于天下。
现在的Uber声称他们采取新的措施保护数据的安全,解聘安全官,重组安全团队,并进一步关闭了个人未经授权访问系统的入口,但泄密事件形成的影响却无法轻易抹去。
Uber现任CEO:Dara Khosrowshahi
其实无论黑客是否删除了资料,以往“封口费”式的解决方式都令人无法容忍,这不仅纵容了黑客攻击行为,还是表现出对自身安全事故的不正确态度——出事只靠堵,而非真正的解决问题,这种低级的企业本位立场,很容易让企业变得更加被动。
相比较第一任CEO的处理方式,现任CEO愿意承认事实,并作出弥补,尽管危机已经存在,但诚实的态度同样令人欣赏,人们或许因此愿意再度信任Uber。
这个事件其实反映出很多企业的心态:
对于现有的安全问题重视不足,一旦出事却只想着瞒天过海。
而真正有前景的企业则是这样做的:
做足一切安全防御,避免一切安全问题,一旦发生问题,首先避免问题扩大,然后站在用户角度以最佳方式来处理。