12 月 12 日凌晨消息， 加拿大隐私专员办公室于 12 月 11 日称其将正式对 Uber 在 2016 年发生的隐私泄露案展开调查。Uber 在上个月对外披露了此隐私泄露案。 该办公室发言人托比·科恩（Tobi Cohen）在邮件中称：“ 我们现在正式对该案件进行调查 。” 但受加拿大隐私法限制，她拒绝透露更多细节。 今年 11 月 21 日，Uber 新任 CEO 达拉·科斯罗萨西（Dara Khosrowshahi ）在一篇博客文章中写道：一年前，有黑客入侵了 Uber 存放在第三方云服务平台上的用户数据，被盗取的数据包括用户的用户名、邮件地址、和手机号，共 5700 万名用户受影响。同时，该黑客还盗取了大约 60 万名美国司机的驾驶证号。Uber 表示已经解雇了两名与该案件有关的员工。 稿源：，稿件以及封面源自网络；

据外媒报道，Uber 的搭车分享服务，已经催生出了一些人那它来参与一些极富创意的犯罪活动的想法。比如在尼日利亚，有人利用一款 GPS 欺骗应用来忽悠乘客，甚至盗用虚假的司机身份从事非法营运。但是在一些邪恶的俄罗斯高智商网络犯罪操盘手的眼里，这些都只是小儿科，因为他们能够与别有用心的司机勾结，帮助他们在 Uber 平台上搭建非法的出租车服务。 据多篇揭示网络犯罪的俄罗斯语帖子爆料，这种骗局的运作方式是： 骗子需要一个模拟器，该软件允许他们在笔记本电脑上运行虚拟的 Android 系统和 Uber app 。然后借助虚拟专用网连接，将流量匹配到与受害人所在城市相同的一台服务器上。 也就是说，欺骗方扮演着 Uber 司机和乘客的 ‘中间人’，在 Uber 平台下单之后，还需要将消息传递到外面。通常情况下，欺骗方会借助 Telegram 消息应用和乘客会话，要求其提供接送和目的地信息。规划行程之后，他们会反馈车型、车牌、司机姓名等细节。 某篇俄文犯罪论坛文章指出，某位欺诈者称其“服务”已覆盖包括圣彼得堡、乌克兰基辅、白俄罗斯明斯克（以及纽约和葡萄牙等地）在内的 20 座城市。有些情况下，扮演中间人的欺诈方还会使用免费或打折的 Uber 优惠券码，意味着他们可以 100% 薅走乘客支付的费用。此外，有些司机也会选择与不法分子合作分成。在某个线上广告的结尾，欺诈者甚至写到 —— “ 享受你的旅行！” 稿源：cnBeta，封面源自网络；

据外媒体报道，继优步（Uber）披露 2016 年曾掩盖影响 5700 万用户的大规模数据泄露事件后，全球多个国家政府对该公司展开了调查。11 月 30 日，Uber 对英国数据保护监督机构称，在此用户数据泄漏事件中，大约有 270 万用户受到影响，其中泄露信息包括用户名、手机号、和电子邮件地址等。据悉，这覆盖了大部分英国 Uber 用户。目前，英国 Information Commissioner’s Office（ICO）要求 Uber 尽早通知那些受影响的英国司机和用户。 这次信息泄漏事件是对 Uber 的又一次打击。早在今年 9 月份，伦敦交通运输局宣布，在本月 30 日到期后，将吊销 Uber 在伦敦的运营资格牌照。该组织称 Uber 违规审查司机的背景，并且以不适当方式获取司机健康状况。Uber 新 CEO 在上周宣称，在 2016 年信息泄漏事件发生后并没有及时披露出来。而在现行英国法律中，未及时向监管机构披露信息泄漏事实的公司将面临最高 50 万英镑的罚款。 本周三，Uber 在其网站上称，经过第三方专家确认，没有迹象表明用户的其他信息，如历史乘车记录、信用卡帐号和生日日期，有被泄漏。并表示：“我们认为司机们对于这次事件无须采取任何补救措施，因为至今为止还没有发现与此次事件相关的信息滥用事件发生，不过我们一直在监控那些受影响的用户账户并提供了额外的保护 ”。目前，Uber 已经被强制要求退出一些国家，比如丹麦和匈牙利。在美国本土也不好过，或将面临来自多个州的监管诉讼。 稿源：，稿件以及封面源自网络；

据外媒 11 月 28 日早间消息，在打车服务 Uber 披露信息称归属于司机和用户的 5700 万个账号被盗之后，美国国会的一些参议人员已将矛头对准了这家公司，但 Uber 仍着眼于 IPO（首次公开招股）上市，因此来自国会的这种压力则代表着一个最新的监管难题。 民主党参议员麦克·沃纳（Mark Warner）致信该公司 CEO 称：“ Uber 的行为引发了有关公司是否遵守了州政府和联邦政府相关法规的严重疑问”。沃纳最近以来一直都是主要的科技业批评人士之一，尤其是针对所谓的 “通俄门” 事件。 参议院共和党第三号人物、商业委员会（Commerce Committee）主席约翰·图恩（John Thune）和其他三名参议员则在另一封信函中表示，上述数据被盗事件是个“值得进一步调查的严重事件”，并指出 Uber 向黑客付钱之举尤其 “令人不满”。这封信的联合署名人还包括参议院金融委员会共和党领袖奥林·哈奇（Orrin Hatch）等。这两封信函均要求 Uber 作出回应。 稿源：，稿件以及封面源自网络；

北京时间 11 月 24 日凌晨消息，欧盟监管机构将在下周讨论美国打车服务 Uber 掩盖其大规模数据被盗事件的问题，并可能成立一个任务小组来展开协调调查。Uber 正面临着监管审查，原因是公司 CEO 达拉·科斯罗萨西（Dara Khosrowshahi）披露信息称，该公司掩盖了去年发生的一次数据被盗事件，此次事件导致约 5700 万个用户账号的个人数据面临曝露风险。 欧盟数据保护当局 “第 29 条工作小组 ”（Article 29 Working Party）周四称，该小组将在其 11 月 28 日和 29 日会议上对此数据被盗事件进行讨论。虽然欧盟各国数据保护机构不能发起联合制裁，但可组建任务小组来协调各国调查。当一项新的欧盟数据保护法规在明年 5 月生效时，监管机构将可有权处以比现在高得多的罚款——最多相当于被罚公司全球营业额的 4%——并可展开更加密切的协调行动。 科斯罗萨西称，被盗信息包括 Uber 全球用户的姓名、电子邮件地址和手机号码，以及 60 万名美国司机的姓名和车牌号码等。Uber 拒绝透露其他哪些国家可能也受到了此次事件的影响。据悉，Uber 向黑客支付了 10 万美元以防止此次网络攻击事件曝光。意大利数据保护局局长安东尼罗·索罗（Antonello Soro）周三称：“我们不禁要对 Uber 遭遇的数据被盗事件表达强烈的担忧情绪，有报道称这家美国公司迟报了这一事件。我们已经发起了质询，并正在搜集所有信息以帮助我们评估这次数据被盗事件的范围，并采取合适的措施来保护任何受到波及的意大利公民”。英国数据保护当局也表示，Uber 隐瞒这次数据被盗事件引发了有关该公司数据政策和道德伦理的“巨大忧虑”。 Uber 长期以来都因其与出租车监管机构之间的 “好斗” 立场而闻名，该公司此前已经面临着一系列高管离职事件所带来的困境，离职的原因包括性骚扰、数据隐私问题乃至司机工作条件等，从而促使公司董事会在今年 6 月驱逐了前 CEO 特拉维斯·卡拉尼克（Travis Kalanick）。 稿源：，稿件以及封面源自网络；

据国外媒体报道，在优步（Uber）披露曾掩盖影响 5700 万用户的大规模数据泄露事件后，全球多个国家政府对该公司展开了调查。11 月 22 日，优步发布声明，承认 2016 年曾遭黑客攻击并导致数据大规模泄露。根据这份声明，两名黑客通过第三方云服务对该公司的服务器实施了攻击，获取了 5700 万名用户数据，包括司机的姓名和驾照号码，用户的姓名、邮箱和手机号。而当时的优步管理层为隐瞒这一事件竟向黑客支付了 10 万美元封口费，要求黑客保持沉默并删除相关数据。目前，涉及此事的优步首席安全官和他的一位副手已被解雇。 据美国媒体报道，澳大利亚及菲律宾政府周三表示，它们将就优步对数据泄露事件的应对措施展开调查。新加坡个人数据保护委员会也表示，已了解到这一事件，并正与优步接触以获得更多细节。在欧洲，优步面临意大利、荷兰和英国至少三个国家的数据保护机构的调查，以及高达 50 万英镑的罚单。英国信息专员办公室副专员詹姆士·约翰斯通在一份声明中表示：“如果英国公民受到影响，我们应当接到通知，以便我们对事件的影响进行评估 ”。 根据英国法律，不向用户和相关机构通报信息泄露事件的，最高会被处以 50 万英磅罚款。约翰斯通说：“故意向监管机构和公民隐瞒信息泄露事件的企业，会被课以金额更高的罚款。”此外，优步在美国本土也将面临多个州和联邦政府的调查。据路透社报道，目前美国已有 4 个州的总检察长表示，他们已经对这一事件展开调查，分别是康涅狄格州、伊利诺斯州、马萨诸塞州和纽约州。马萨诸塞州总检察长莫拉-海利（Maura Healey）表示：“我们对优步的行为表示严重关切 ”。 联邦政府方面，美国众议员弗兰克-帕洛恩（Frank Pallone）呼吁国会举行听证会，“如果优步确实曾通过向黑客付钱掩盖信息泄露事件，这里边就可能存在其他问题，必须对此展开调查 ”。随后，美国联邦贸易委员会（FTC）也表示，已经在关注此事，但没有披露是否已经启动正式调查程序。美国联邦贸易委员会一位发言人说：“我们通过媒体报道获悉信息泄露事件后优步及其高管的行为，我们正在评估由此引发的严重问题。” 稿源：，稿件以及封面源自网络；

据外媒报道，Uber 似乎很难让自己逃离新闻中心漩涡。虽然这家公司迎来了一位新 CEO 并且他正在努力清理之前留下的烂摊子，但 Uber 仍旧会发现自己还是被卷入了丑闻中。这份清单中最新增加的内容则是这家公司隐瞒了黑客成功窃取属于 5700 万名 Uber 司机和客户的个人数据的事件。 据了解，该网络攻击最初发生在去年 11 月，但 Uber 一直到 1 个月后才意识到这个漏洞。泄露的信息包括电子邮件地址、60 万名司机的驾照号。不过目前并无迹象表明社保号、银行信息也遭到了窃取。从法律角度来看，Uber应当有在发现网络攻击时通知用户和监管机构的责任，然而它却选择了掩饰。这家公司选择用 10 万美元换取黑客的沉默。 尽管 Uber 坚称被盗的数据从未被用到不正道的地方，但不管怎样隐瞒跟用户敏感数据相关的事实总归是不对的。而优步首席执行官 Dara Khosrowshahi 专门针对此事发表了一份声明。 稿源：cnBeta，封面源自网络；

据科技博客 TechCrunch 报道，美国一名安全专家早前发现了打车应用 Uber 上存在一处安全漏洞，不仅是这名安全专家本人，即使是发现了这一漏洞的任何用户，都可以在全球各地乘坐 Uber 后直接免单走人。不过，现 Uber 已经成功修复了这一漏洞。去年 8 月，电脑安全专家阿南德·普拉卡什（Anand Prakash）首先发现了这一漏洞，并通过 Uber 公司的“漏洞赏金”项目告知对方。 Uber 在获悉该情况后，立即组织安全专家普拉卡什等人在美国和印度两地对该漏洞展开测试。测试结果正如预期：利用该漏洞，普拉卡什成功在两地免费使用了 Uber 共乘服务。 此次公布的安全漏洞在去年 8 月份发现并及时得到修复，但普拉卡什直至本周才将其公之于众。“利用该漏洞，攻击者可以使用自己的 Uber 账户进行无限制的免费乘坐，”普拉卡什在一篇博客中描述该漏洞时表示。普拉卡什甚至发布了一小段视频，演示如何利用 Uber 漏洞进行免费坐乘。 Uber 公司一位发言人对此表示：“Uber 设置的‘漏洞赏金’项目，旨在与全球安全研究人员共同修复安全漏洞，即使这些漏洞没有直接影响到我们的客户。我们感谢阿南德的持续贡献，对他提交的卓越报告，我们乐于对其进行奖励。”在 Uber 的“漏洞赏金”项目排名中，普拉卡什排第 14 位。据悉，除 Uber 外，普拉卡什还经常向 Twitter、雅虎等其他公司提交漏洞报告。 点击了解更多 anandpraka.sh 稿源：cnBeta、凤凰网科技 节选；封面源自网络

安全公司 Positive Technologies 曾发现反勒索备份服务 Code42 存在 XML 外部实体漏洞，近日据外媒报道，研究员将此漏洞上报后，由 Uber 为合作公司支付了漏洞赏金 9,000 美元。 安全公司 Positive Technologies 的渗透测试员 Vladimir Ivanov 发现，反勒索软件备份服务 Code42 存在的 XML 外部实体漏洞能够获得所有用户的备份访问权限、窃取使用该服务的组织（含 Uber、Adobe 和 Lockheed Martin 等）的数据。 由于检测结果显示漏洞涉及 Uber 且 Code42 并无漏洞赏金计划，Ivanov 选择通过 HackerOne 向 Uber 报告了这一漏洞，后者核实后确认它是一个 0day 随后也通知了 Code42 及时修复。Code42 方面则要求 Ivanov 等待所有客户更新完毕后方可披露漏洞细节。 稿源：HackerNews.cc 翻译/整理，封面来源：百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接，违者必究。

Uber 门户网站 UberCENTRAL 模块存在一系列漏漏，可能泄露用户姓名、电话号码、电子邮件地址、以及所有 Uber 用户的唯一ID。 漏洞赏金“猎人” Kevin Roh 发现这些漏洞都是由于一个不安全的直接对象引用 （IDOR）导致的。在 9 月初发现了第一个 bug，允许他以管理员身份通过 POST 请求用电子邮件枚举用户 UUID 。 在 10 月他发现可以使用类似的方法，通过 GET 请求枚举 UUID。在 10 月下旬，他发现可以让系统输出姓名、电话号码和电子邮件地址。 目前，还不清楚 Kevin Roh 通过这个三个不安全的直接对象引用漏洞获得多少赏金，但从历史上看每个漏洞的赏金应该在 500 至 1000 美元之间。 本周三 Uber 发言称，漏洞已经被修复，没有用户受到影响。 稿源：本站翻译整理，封面来源：百度搜索