前 Uber 安全主管 Joe Sullivan 因向当局隐瞒黑客行为而被判有罪
前优步(Uber)首席安全官乔·沙利文(Joe Sullivan)因掩盖 2016 年大规模数据泄露,近日被美国联邦法院被判有罪。在这起数据泄露中,有黑客下载了超过 5700 万用户/网约车司机的个人信息。 从优步窃取的信息包括 5000 万用户和 700 万网约车司机的姓名、电子邮件和联系方式等,此外还有 60 万网约车司机的行驶证信息。 据《纽约时报》和《华盛顿邮报》报道,陪审团判定沙利文犯有两项罪名:一项是未向 FTC 披露违规行为而妨碍司法公正,另一项是藐视罪,向当局隐瞒重罪。 沙利文原本面临三项电汇欺诈罪,但检察官在 8 月驳回了这些指控。沙利文曾在包括 Facebook 和 Cloudflare 在内的其他公司担任安全主管,正如《华盛顿邮报》指出的那样,在这种情况下,他与旧金山美国检察官办公室对峙,他之前曾在该办公室起诉网络犯罪。 沙利文的律师 David Angeli 告诉媒体“不同意”判决,并且他的委托人“在这起事件中以及在他杰出的职业生涯中,唯一关注的是确保人们在互联网上的个人数据的安全。” 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1324175.htm 封面来源于网络,如有侵权请联系删除
Uber 被黑,内部系统和机密文件均遭到破坏
据悉,Uber 再次遭到入侵,威胁行为者访问了其电子邮件和云系统、代码存储库、内部 Slack 帐户和 HackerOne 票据,攻击者渗透其内部网络并访问内部文件,包括漏洞报告。 据《纽约时报》报道,威胁者入侵了一名员工的 Slack 账户,并用它来通知内部人员该公司“遭受了数据泄露”,并提供了一份据称被黑客入侵的内部数据库列表。 “我宣布我是一名黑客,Uber遭到数据泄露。” 该公司被迫使其内部通信和工程系统离线,以减轻攻击并调查入侵。 据称,攻击者破坏了多个内部系统,并向《纽约时报》和一些网络安全研究人员提供了电子邮件、云存储和代码存储库的图像。“他们几乎可以完全访问 Uber,”Yuga Labs 的安全工程师 Sam Curry 说,他与声称对此次违规行为负责的人进行了通信。“从它的样子来看,这是一个彻底的妥协。” 攻击者还可以访问公司的 HackerOne 漏洞赏金计划,这意味着他们可以访问白帽黑客提交给公司的每个漏洞报告。这些信息非常重要,威胁者可以利用它发动进一步的攻击。目前无法排除报告包含有关公司尚未修复的一些缺陷的技术细节。 HackerOne 已立即禁用 Uber 漏洞赏金计划,阻止对报告问题列表的任何访问。公司发言人证实,Uber通知执法部门并开始对事件进行内部调查。 Uber首席信息安全官 Latha Maripuri 通过电子邮件告诉《纽约时报》:“我们目前无法估计何时恢复对工具的完全访问权限,因此感谢您对我们的支持。” 员工被指示不要使用内部消息服务 Slack,其中一些不愿透露姓名的员工告诉纽约时报,其他内部系统无法访问。 这名黑客自称18岁,并补充说优步的安全性很弱,在通过 Slack 发送的消息中,他还表示优步司机应该获得更高的工资。 据悉,这不是Uber第一次遭遇安全漏洞。2017 年,2016 年发生的另一起数据泄露事件成为头条新闻。 2017 年 11 月,Uber 首席执行官 Dara Khosrowshahi 宣布黑客侵入了公司数据库并访问了 5700 万用户的个人数据(姓名、电子邮件地址和手机号码),令人不安的发现是该公司掩盖了黑客行为一年多。攻击者还访问了其在美国大约 600,000 名司机的姓名和驾照号码。 黑客事件发生在 2016 年,根据彭博社发布的一份报告,黑客很容易 从公司开发团队使用的私人 GitHub 站点获取凭据。黑客试图勒索优步,并要求该公司支付 10 万美元,以换取避免公布被盗数据。 信息安全主管乔·沙利文(Joe Sullivan)没有按照加州数据安全违规通知法的要求向客户和执法部门通知数据泄露事件,而是下令支付赎金并掩盖破坏任何证据的故事。奖金被伪装 成漏洞赏金 ,并签署了保密协议。 如果Slack被判有罪,这将是第一次有安全专业人员因此类事件而被追究个人责任。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/WadncDZ4Qq79rq-uUKSIag 封面来源于网络,如有侵权请联系删除
Uber 承认隐瞒 2016 年数据被盗事件 换来美检方不指控
新浪科技讯 北京时间7月25日早间消息,据报道,2016年,美国网约车平台Uber发生了黑客攻击事件,导致5700万用户和司机的个人数据受到影响。日前,该公司和美国检方达成和解协议,Uber宣布为这次事件承担责任,作为交换,该公司也避免了检方的刑事罪名指控。 在这份双方达成的不指控协议中,Uber承认,在2016年11月的黑客袭击事件发生后,工作人员并未及时向美国证券交易委员会报告情况,而证交会之前一直在调查Uber的数据安全问题。 美国加州旧金山的检察官西兹(Stephanie Hinds)介绍说,在黑客袭击事件发生一年之后,Uber才向监管部门报告了情况。在对外报告之前,该公司调整了管理层,新管理层更加强调职业道德和合规经营。 这位检察官表示,之所以决定不对Uber提出刑事指控,主要考虑到两个情况,一是Uber现任管理层在积极调查和信息披露上的表现,二是Uber在2018年和美国联邦贸易委员会签署了一个长达20年的协议,公司承诺实施全方位的用户隐私保护计划。 据悉,检方仍将对Uber当时担任网络安全一把手的高管苏利文(Stephanie Hinds )提出控罪,罪名有关他在隐瞒黑客攻击事件中所扮演的角色。在对这位前高管的指控中,Uber也向检方提供了配合。 对于这一报道,Uber并未发表评论。 苏利文最早遭到检方指控是在2020年9月。检方指出,苏利文做出决定,向黑客支付10万比特币的封口费,并且让黑客签署保密协议,黑客在协议中谎称,并未窃取Uber任何数据。 在网络安全方面,Uber很早之前就推出了一个“有奖捉虫”计划,对发现公司系统漏洞的外部安全研究人员提供奖励,不过这一计划并不包括向黑客支付费用,掩盖数据盗窃事件。 之前,美国50个州和华盛顿特区的检方也对Uber迟报黑客攻击事件的问题展开调查,在2018年9月,Uber一共赔付1.48亿美元,和这些州的检方达成了和解协议。 上周五,Uber股价小幅下跌。上述的检方不指控协议是在美国股市收盘后宣布的。 转自 新浪科技,原文链接:https://finance.sina.com.cn/tech/it/2022-07-25/doc-imizmscv3384660.shtml 封面来源于网络,如有侵权请联系删除
Uber 前安全主管面临欺诈指控 曾隐瞒数据泄露事件
新浪科技讯 北京时间6月29日消息,2016年Uber曾遭遇黑客攻击,当时5700万乘客和司机的个人信息被黑客窃取,事发后Uber前安全主管约瑟夫·沙利文(Joseph Sullivan)试图隐瞒。美国联帮法官周二表示,沙利文必须面对电信诈骗指控。 沙利文付钱给两名黑客让他们保持沉默,同时他还欺骗乘客、司机、FTC。沙利文反驳称,检察官指控他隐瞒黑客事件,说他这样做的目的是想阻止司机逃离,让司机继续支付服务费,但检察这种指控并无切实证据。旧金山地区法官威廉·奥瑞克(William Orrick)显然不同意这种说法。 不只如此,沙利文还认为受到欺骗的是Uber当时的CEO和总法律顾问,不是司机,关于这点法官也不认同。奥瑞克说,虽然沙利文的虚假陈述并非直面司机,但这只是更大欺骗计划的一部分,欺骗对象正是司机。 检方声称沙利文向黑客支付比特币作为封口费,价值约10万美元。他还让黑客签署保密协议,说他们没有窃取数据。 了解到数据泄露事件后,Uber现任CEO达拉·科斯罗萨西(Dara Khosrowshahi)解雇了沙利文。 2018年9月Uber支付1.48亿美元与50个州及华盛顿DC和解索赔诉讼,原告认为Uber披露信息过慢。 转自 新浪科技,原文链接:https://finance.sina.com.cn/tech/2022-06-29/doc-imizmscu9235363.shtml 封面来源于网络,如有侵权请联系删除
黑客就数据泄露表示认罪 曾威胁 Uber 和 Lynda 支付巨额赎金
Brandon Charles Glover 和 Vasile Mereacre 是两名黑客,他们对在2016年攻击并勒索 Uber 和Lynda.com 一事认罪。 2017年11月,Uber首席执行官 Dara Khosrowshahi 承认黑客曾闯入公司数据库并盗取了5700万用户的个人数据,但公司在过去的一年里没有公开此事。 根据彭博社的报告,黑客通过 Uber 开发团队的 GitHub 获得了访问权限,并且要求Uber支付10万美元,否则将公开这些被盗数据。Uber 将付款伪造成漏洞赏金,派 Glover 和 Mereacre 分两次支付了 50,000 比特币并与他们签署了保密协议。 2018年9月,Uber同意就此事件美国各州和哥伦比亚特区支付1.48亿美元的和解金。 Lynda.com 是一个在线学习平台,其于2015 年被 LinkedIn 收购。2016 年,该公司提醒其 950 万客户声称公司遭到了黑客攻击,尽管只有 55,000 个帐户受到影响。与 Uber 不同,LinkedIn 拒绝向黑客付款,并试图找出他们。 本周,Glover 和 Mereacre 在美国地方法院出庭。两人都承认于2016年10月至2017年1月期间从部署在 Amazon Web Services 的公司窃取用户数据,并向他们索取费用。 两人现在面临最高五年的监禁和25万美元的罚款。下次听证会定于3月18日在美国地方法院举行。 消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接
300 万用户数据泄露 Uber 被英国和荷兰罚款 117 万美元
讯 北京时间11月28日上午消息,据美媒CNBC报道,因2016年的数据泄露事件,周二英国和荷兰当局分别对Uber处以罚款,罚款总金额达117万美元。 2016年10月和11月,Uber遭到网络攻击致使用户数据泄露,泄露的信息包括用户完整姓名、电子邮箱地址和电话号码。据有关当局称,英国有270万Uber用户受到影响;而在荷兰,17.4万用户受影响。 对此,英国信息专员办公室(ICO)宣布对Uber处以38.5万英镑(约49.1万美元),理由是公司“未能在网络攻击期间保护消费者个人信息”。荷兰数据保护局也针对该次数据泄露事故对公司处以60万欧元(约67.9万美元)罚款。 隐瞒事故近一年后,Uber于2017年11月份承认,黑客窃取了全球5700万用户和司机的个人信息。并且,为了删除数据和隐瞒数据泄露事故,Uber还向黑客支付了10万美元。 由于网络攻击发生于2016年,该次数据泄露事件不受今年5月份生效的欧盟“通用数据保护条例”的管辖。 今年9月份,Uber同意向美国各州和华盛顿特区支付1.48亿美元以解决与2016年数据泄露有关的诉讼。 周二发布的声明中,一名Uber发言人表示公司“愿意合作以彻底解决2016年数据泄露事故”。 声明中写道:“数据泄露发生后,并这些年来,我们已经采取了一系列技术改进以提升我们系统的安全性。我们的领导层也发生了重大变化以确保未来与监管机构和消费者保持适当的透明度。” 稿源:,稿件以及封面源自网络;
美国 Uber 因侵犯隐私 20 年内将受监督
有消息称,近日,Uber和美国政府达成和解协议,美政府要求Uber采取一系列整改措施,另外在未来20年内,需有第三方对Uber的软件和相关行为进行监督。 据外媒报道,美国政府联邦贸易委员会(FTC)因Uber随意采集消费者和专车司机的个人隐私数据,并没有做好保护措施对其展开调查。双方就此作出和解。 FTC指控称,Uber没有对下属员工的行为进行监督,导致他们能够随意获取消费者和司机的隐私数据。并且Uber在两个方面误导了消费者:对于能够访问隐私数据的内部员工,在其监督机制方面进行了误导宣传;Uber宣称会采取措施保护这些数据,这也是一个误导行为。 根据和解协议,政府要求Uber公司解决现有全部产品和服务中的个人隐私风险,另外要确保个人隐私信息的保密工作。在未来180天以及20年之内(每隔两年),Uber必须接受第三方机构对于个人隐私和数据保护措施的审核和监督。 有消息称,Uber前CEO卡兰尼克被大股东告上法庭后,Uber全球运营高级副总裁瑞恩·格拉夫斯在发给员工的邮件中宣布离职。近日,外媒报道Uber开发者平台主管克里斯·萨布将会离职。 稿源:北京商报,封面源自网络;
Uber:2016 年数据被盗案黑客位于加拿大和佛罗里达州
北京时间 2 月 7 日早间消息,Uber 高管周二对美国国会表示,2016 年窃取该公司数据的两名黑客当时位于加拿大和佛罗里达。 Uber CTO 约翰·弗林(John Flynn)在发给美国参议院的书面证词中表示,大约有 2500 万名数据遭窃的受害者位于美国,其中 410 万 人是司机。 Uber 去年 11 月披露,此次数据被盗共涉及全球 5700 万用户,但彼时距离事件发生已经过去大约一年。 去年 12 月有报道称,当时的黑客是一名 20 岁的男子,Uber 通过 “ 漏洞奖励 ” 项目向其支付费用后,要求其销毁被盗数据。但该项目原本是为那些发现安全漏洞,并及时上报企业的研究人员设立的。 弗林证实,窃取 Uber 数据的男子位于佛罗里达,而他的同伙在 2016 年 11 月 14 日首次与该公司取得联系,索要 6 位数的赎金,此人位于加拿大。 弗林称,Uber 安全团队与此二人取得联系,并收到数据已经销毁的 “ 保证 ”,随后向其支付 10 万美元。知情人士去年 12 月透露,该公司对上述弗罗里达黑客的电脑进行了法医分析,确定数据已经删除。 加拿大警方发言人尚未对此置评。 弗林表示,Uber 犯了错误,包括不应该通过“漏洞奖励”项目向黑客支付费用。 美国参众两院都对 Uber 延缓披露此事的行为提出警告。此次被盗的数据包括姓名、电话号码电子邮箱地址,但并不包含社会安全号和信用卡信息。60 万名司机的驾照号也遭窃取。 稿源:,稿件以及封面源自网络;
美司法部证实正因 Uber 的犯罪行为对其进行调查
据外媒 The Verge 报道,根据提交给一名负责监督 Alphabet 对 Uber 诉讼的法官的信,美国司法部证实其正在对 Uber 展开调查。这是联邦检察官正在调查 Uber 涉嫌窃取 Alphabet 商业机密的第一个官方证实。 致联邦法官 William Alsup 的这封信来自加利福尼亚北部地区的代理美国律师 Alex Tse 的办公室。Tse 证实,检察官在“未决刑事调查”过程中,采访了前 Uber 安全分析师 Richard Jacobs ,Jacobs 近日写给 Uber 法律小组担忧 Uber 员工违法行为的信函近日被公开披露。在采访中,雅各布斯告诉调查人员他在备忘录中列出的一切: Jacobs 先生告诉政府,Uber 收购 Otto 收购不久后,Ed Russo(战略服务集团(“ SSG ”)的一名 Uber 员工)做了一个介绍,他描述了 Uber SSG 可以安排的假设情景,两位 CEO 在收购之前长时间秘密见面。Jacobs 和其他 Uber 员工认为,这种“ 假设的 ”情景其实是叙述了 SSG 为保护 Travis Kalanick 和 Anthony Levandowski 之间的会议所作的努力。 Jacobs 进一步指出,Uber 员工经常使用不可归属的电子设备存储和传输他们希望与 Uber 官方系统分离的信息。他推测,任何错误获得的知识产权都可以存储在这样的设备上,而这样的行为将会阻止知识产权在审查 Uber 系统时被发现。 Alphabet 的诉讼集中在前 Google 自动驾驶工程师 Anthony Levandowski 涉嫌盗窃成千上万份文件。在 Levandowski 离开谷歌之后不久,他创立了自动驾驶卡车初创公司 Otto。Otto 最终被 Uber 收购。Waymo 的律师争辩说,Uber 获取了被盗的文件,只是伪装成收购。 一位 Uber 发言人在声明中表示: “ 虽然我们没有证实 Jacobs 信中的所有主张 – 重要的是与 Waymo 有关 – 我们的新领导层已经明确表示,未来我们将凭借我们的想法和技术,诚实而公平地参与竞争。” 稿源:cnBeta,封面源自网络;
加拿大监管部门对 Uber 隐私泄露案展开调查
12 月 12 日凌晨消息, 加拿大隐私专员办公室于 12 月 11 日称其将正式对 Uber 在 2016 年发生的隐私泄露案展开调查。Uber 在上个月对外披露了此隐私泄露案。 该办公室发言人托比·科恩(Tobi Cohen)在邮件中称:“ 我们现在正式对该案件进行调查 。” 但受加拿大隐私法限制,她拒绝透露更多细节。 今年 11 月 21 日,Uber 新任 CEO 达拉·科斯罗萨西(Dara Khosrowshahi )在一篇博客文章中写道:一年前,有黑客入侵了 Uber 存放在第三方云服务平台上的用户数据,被盗取的数据包括用户的用户名、邮件地址、和手机号,共 5700 万名用户受影响。同时,该黑客还盗取了大约 60 万名美国司机的驾驶证号。Uber 表示已经解雇了两名与该案件有关的员工。 稿源:,稿件以及封面源自网络;