11/22/2017

[biz] Uberが大規模情報漏洩、かつ1年超隠蔽

Uberがまたやらかした、というか、やらかしていた事が発覚したそうで。

事案自体は何ということもない、ありふれた顧客と社員の情報漏洩です。同社の事業規模に比例してその件数は多く、およそ5000万件のユーザ、及び700万件のUberドライバーの情報が窃取されてしまいました。

問題は、同社がその事実を隠蔽した事です。本件の発生は2016年10月ですが、Uberはこの種の漏洩の発生時に義務付けられている当局への報告、及び被害者たる顧客等への事実の公表を意図的に行わず、およそ1年以上に渡り隠蔽し続けました。2014年に同種の、これよりは規模の小さい漏洩を起こしており、またその間、ユーザから登録情報の不正利用の疑いを指摘するクレームがあったにも関わらずです。しかも、露見するに至った今でも、顧客へは責任を否定し、補償等を行わないものとしている始末。笑うしかないというか、笑うに笑えないというか。

なお、本件攻撃の手口は、大体以下の通りだそうで。

 1.開発用のプライベートサイトで管理者アカウントを盗む
 2.それを使ってAWS内の同社サイトをハック
 3.攻撃者が同社に現金要求($100000)、同社が応じる

で、 同社としては、攻撃者には要求通り支払ったのだから、漏洩した情報は悪用されていない、だから実際上は問題ないし、補償も不要、という事にしたいようです。そうと明言したわけではありませんけど、同社の言い分を総合するにそういう事のようです。そんな馬鹿な。

同社が法遵守の姿勢を持たず、むしろあえて違法、無法を犯して恥じることすらない体質である事は今更指摘するまでもなくよく知られているところではありますが、事業を行うにあたり最も重要で欠くべからざる要素である筈の顧客の信頼、その大部分を毀損してなお反省も修正すらも行わない、事業者としては破滅的とも言うべき姿勢には、流石に戦慄を覚えざるを得ません。

最近ではLondonやCanadaのQuebeck等の主要市場から排除の決定を受け、それでも何ら改善なり修正なりをする事もなく、ただ漫然とその当局側を逆ギレ的に批判し、排除されるに任せて縮小するばかりの同事業にとって、顧客の信頼はその利便性と並んでそれを支える両輪であった筈なのですが。。。

同社の現状を鑑みるに、赤字続きかつ規模も大幅に縮小、性差別等も含め紛争を多数抱え、資金も目減りを続けているし、経営陣は内紛続きで総崩れと、経営環境は壊滅的と言っていい状況ではあるのだし、 この規模のユーザや社員に対して十分な補償をしようにも出来ない、というかしたら破産する、とかいう事なのかもしれませんけど。しかし一体どう始末を付けるつもりなのでしょう。少なくとも、まともに使えるかどうかも分からない自動運転車を何万台も調達したりして資金を浪費している場合ではない筈なのですが。もしかしなくても破綻しちゃいます?

Uber Paid Hackers to Delete Stolen Data on 57 Million People

[関連記事 [biz] Uber、Londonでのライセンスを剥奪される]
[関連記事 [biz] Uber登録ドライバーのストライキ発生]
[関連記事 [biz] Uber白タク摘発。社会に拒絶されるTNCの自業自得]