Uber去年底遭入侵外泄5700万笔资料，传安全长支付10万美元要骇客销毁资料

Uber周二（11/21）坦承在去年底曾遭骇客入侵，骇客盗走了5700万名Uber乘客与司机的资料。彭博社（Bloomberg）则报导，当初Uber安全长Joe Sullivan为了掩人耳目，曾支付10万美元予骇客，要求骇客销毁资料，事情曝光后，Sullivan已被迫离职。

今年8月底接手Uber首席执行官的Dara Khosrowshahi表示，他最近才知道有两名骇客在去年曾存取Uber存放于第三方云端服务的使用者资料，内含5700万全球Uber乘客的姓名、电子邮件账号及移动电话号码，包括60万名美国Uber司机的驾照资料。

Khosrowshahi说，当时Uber移除了骇客存取资料的管道，改善了安全措施，并确认骇客已销毁所盗走的资料，但并不知道去年为何没有通知受影响的用户，也未向主管机关报告，因此延揽安全顾问Matt Olsen协助进行调查，在了解事情的始末之后，两名该负责的人士即日起已离开Uber。

Khosrowshahi并未揭露骇客入侵的管道，也没公布两名离职员工的姓名。然而，彭博社则报导Uber安全长Joe Sullivan决定支付骇客10万美元，要求骇客销毁所窃取的资料，且不得对外声张。

根据报导，骇客先是入侵了Uber工程师于GitHub上所建立的私有仓库，取得Uber于AWS云端服务的登入账号，盗走了储存于AWS上的Uber用户资料，再向Uber勒索。Sullivan决定支付10万美元的赎金，且未通报主管机关，包括纽约总检察长与美国联邦交易委员会（FTC）都是本周二才知情。

真相大白之后，Uber要求Sullivan离职，也开除了Sullivan底下的资深律师Craig Clark，即日起生效。

2015年加入Uber的Sullivan为Uber的首任安全长，且是在Uber资料外泄事件曝光后、为了加强资安才设立的职缺，先前Sullivan亦曾担任脸书（Facebook）安全长一职。