Uber:資料外洩處理的負面教材

Uber 真是一家在各方面備受爭議的公司,從已公開浮上檯面的權力較勁勞資爭議法規挑戰以及看似惡質的文化,Uber 的地位似乎顯得岌岌可危。

近日,該公司又爆發一件醜聞:Uber 曾於 2016 年遭駭客入侵,使得 5,700 萬名客戶和司機資料遭到外洩 (姓名、電子郵件、電話)。相關報導: Uber:駭客竊走全球5700萬乘客.駕駛個資

此外,另有 60 萬名司機的執照也在該事件中外流。

令人悲哀的是,這類事件總是不斷發生。因為,沒有任何防禦是完美的,駭客總有辦法、而且早晚會想出辦法,就連最安全的系統也無法免於淪陷。資安措施必須接受這項事實,而且當遇到像這樣的事件要迅速因應才能降低衝擊,以便從資料外洩當中盡速復原。

從Uber未經同追蹤乘客位置遭罰2萬美金,談行動應用程式的隱私問題

延伸閱讀:

地下市場最搶手的個資:Netflix和Uber使用者帳號
從Uber未經同追蹤乘客位置遭罰2萬美金,談行動應用程式的隱私問題
叫車app也有山寨版?! 冒充叫車應用程式的 FakeToken 木馬再現身

Uber 採取了最糟的做法:試圖掩蓋

但這次的案例,Uber 卻採取了最糟的做法。他們選擇不公開資料外洩的事實,而且還支付歹徒 10 萬美元的封口費。不但如此,他們還刻意讓這筆款項看起來像是臭蟲懸賞計畫的獎金,讓場面更加難看。

付款給歹徒絕對是不明智的作法,而試圖掩蓋一起影響數千萬人的事件更是讓人無法容忍。

沒人能夠證明歹徒在收到款項之後會確實將資料刪除,這不是數位世界的運作法則。Uber 在聲明中表示他們「相信這些資料從未被拿來使用」,但事實上這說法毫無根據可言,這樣的話根本不值得採信。沒有人可以追蹤這些失竊的資訊最後被賣到哪裡或用到哪裡。難道 Uber 能監控所有的地下論壇、非法交易、或者聊天室?或者檢查每一個網站看看有沒有任何受害的使用者遭到冒名詐騙?

此外,想藉由付款給歹徒來掩蓋資料外洩的事實,只會鼓勵歹徒和其他駭客未來從事更多犯罪活動。數位勒索是我們預料 2018 年將大幅成長的網路犯罪領域,而我們也正與執法機關合作密切進行這方面的研究。

網路犯罪根本就是一種行業,因此當歹徒得手的金額越多,未來就越有本錢開發更多工具來攻擊更多目標。

遭到外洩的使用者的資料,很可能被拿到地下市場販賣

今年至今已發生多起大型資料外洩事件:YahooVerizonEdmodoEquifax 等等,每次都有數百、甚至數千萬名使用者因資料外洩而遭殃。

每當有個人資料遭到外洩,企業就必須有最壞的打算,然後看看該如何補救,因為使用者的資料很可能被拿到地下市場販賣,並且用於從事不法。

全球各地的資料外洩通知法規,包括歐盟的通用資料保護法規 (GDPR) 在內,都認同這樣的立場,因此才會要求企業在遇到這類事件時,必須通知資料遭到外洩的個人。

對任何企業來說,對外公開資料外洩事件都是一項大事,因為這是一種公認的醜聞,而且很可能直接影響大眾的觀感與企業獲利。

其實,對於那些竭盡所能保護使用者資料安全,以及採取公開透明態度處理資料外洩事件的企業機構,我們應該一改責備的作法,支持公開透明的調查,找出資料外洩的真正原因,讓人人都能從中獲得教訓,並且加以改進。

但 Uber 的案例卻正好相反。

由於 Uber 並未開誠布公,反而為自己招來潛在的法律後果,並且讓使用者直接陷入危險。當您不曉得自己的資料已遭外洩,您就無法為自己採取適當的保護措施。

Uber 未誠實揭露的作法已讓使用者陷入更大的危險,而這一點令社會無法接受。

令人擔憂的說法

在 Uber 眾多令我不安的事情當中,最令人擔憂的是 Uber 所說的:「有兩名非公司員工不當取得了我們儲存在第三方雲端服務廠商的使用者資料。此事件並未影響到我們的企業系統或基礎架構。」

這真是一派胡言。

身為一家企業,當您的 IT 需仰賴第三方服務來運作時,該服務就等於是您企業系統的一環。您的資料就是您的資料,不論儲存在哪裡。

所有雲端服務都是在共同分擔的資安架構之下運作,而且不管您採用哪一種類型的服務,資料永遠都是您自己的責任。

Bloomberg 針對該起事件的說明如下:

  • 駭客進入了 Uber 所使用的私人 GitHub 程式碼網站。
  • 駭客在該 GitHub 網站當中發現了 AWS 登入憑證。
  • 駭客利用這些 AWS 登入憑證取得了個人身分識別資訊。

如同大多數駭客事件一樣,這並非什麼複雜的攻擊,而且可歸咎於受害者自身流程上的疏失,決非因為 GitHub 或 AWS 的安全問題而導致。

設想一下,若您將車停在購物中心,然後不僅車門沒有關妥,而且鑰匙還留在發動孔內,當您驚覺車輛被偷時,這絕對是您的疏失,而非購物中心的責任。

放眼未來: 開誠布公絕對是面對資料外洩的最佳策略,不論情況有多難堪

Uber 新的領導團隊已經採取了一些緊急措施,希望能在一片撻伐聲中力挽狂瀾。這項決定確實不易,但值得鼓勵。不過卻無法磨滅該公司一路走來令人質疑的各項作為。信任得來不易,而且一旦摧毀,幾乎是覆水難收。

這次的案例給我們一個很好的教訓:開誠布公絕對是面對資料外洩的最佳策略,不論情況有多難堪。

該公司已開除了自己的資安長 (CISO) 並且正在通知所有受到波及的民眾,同時也正與外部專家共同研擬如何提升其資安狀況。但他們沒有說明的是,他們是否已和執法單位接觸 (儘管 Uber 表示已出面指認歹徒),以及是否未來將配合法規要求。

任何時候,一旦客戶將資訊交給了您,您就必須竭盡所能確保資訊的安全。因為,有時候就算您已盡力,資料還是可能遭到外洩。

此時,為了維護客戶的信任,您必須開誠布公,並且協助客戶確保自身安全。沒錯,您也是網路犯罪的受害者,但您的客戶何嘗不是。這一點千萬不要忘記。