Uber被黑客盜5700萬用戶資料 網絡保安專家:犯了雙重錯誤
撰文:陳宇軒
出版:更新:
不少港人都會使用的電召車應用程式Uber,被揭去年10月遭黑客入侵,全球5,700萬乘客與司機個人資料曾外洩。有網絡保安專家分析指,Uber在事件中犯了雙重錯誤,當中最嚴重是將登入存有客戶個人資料雲端的「通行證」,放在大量員工均可登入的代碼庫,令黑客有機可乘,輕易盜取「通行證」進入雲端。
個人資料私隱專員公署指,關注事件,將主動聯絡Uber在香港的辦公室了解。
有曾受聘多間大型公司的網絡保安顧問分析指,登入儲存顧客個人資料的雲端戶口需要「通行證」,而Uber在事件中犯了雙重錯誤,首先Uber將「通行證」放進了能讓大量員工有權限登入的代碼庫,一旦員工的帳號不慎被入侵,便很客易讓黑客有機可乘,盜取「通行證」;另外,Uber代碼庫亦不應輕易曝露於公眾網絡,毫無加密,否則會提高風險讓黑客入侵。
非涉整個公司系統 黑客易得手
該網絡保安顧問指,暫未能推斷漏洞在哪,或許是黑客先入侵登入代碼庫的帳號,之後再盜取登入雲端的「通行證」,亦可能是代碼庫本身存在漏洞,由於上述問題均不涉及整個公司網絡系統的保安,黑客相對較容易攻破單一代碼庫。
Uber隱瞞黑客竊全球5700萬用戶司機資料 付78萬港元了事無通報【視角】置死地而後生?Uber坦承過錯全因感恩節 新CEO望洗邋遢Uber與NASA合作 2020年試行無人的士 2小時車程縮短至15分鐘
Uber私下付黑客78萬港元
事件源於Uber被揭去年10月曾遭黑客入侵,全球5,700萬乘客與司機資料外洩,當中包括名字、電郵地址和手機資料,更有60萬司機駕駛執照資料,至於信用卡資料及行程地點等資料則沒有被盜。Uber當刻並無主動公開事件,私下向黑客支付10萬美元(折合78萬港元)「贖金」要求銷毀資料,並保密事件。