Uberが2016年10月にサイバー攻撃を受け、5700万人ものユーザーデータを盗まれたことを、新CEOのコスロシャヒ氏が発表した。同社はBloombergに対し、当時事件を隠ぺいし、攻撃者の求めに応じて10万ドルを支払ったことを明らかにした。
米Uberのダラ・コスロシャヒCEOは11月21日(現地時間)、「2016 Data Security Incident(2016年のデータセキュリティ事件)」と題する公式ブログで、昨年10月にサイバー攻撃を受け、5700万人以上のユーザーデータや60万人のドライバーのデータが盗まれていたことを明らかにした。
8月にCEOに就任したコスロシャヒ氏は、「こうしたことは起きてはならないことだったし、言い訳のしようもない。過去を消すことはできないが、この過ちから学び、顧客の信頼を得られるよう努力することはできる」としている。
このブログ公開の直前には米Bloombergがこの事件の詳細を報じる記事を掲載した。
UberがBloombergに説明したところによると、2人の攻撃者はまずUberのソフトウェアエンジニアが使っていた個人のGitHubアカウントを入手し、それを使ってUberがユーザーデータを管理しているAWSに侵入してデータをダウンロードし、Uberにメールで金を要求したという。
当時のCEOで現在も同社取締役である創業者のトラヴィス・カラニック氏は事件の1カ月後に報告を受けたが公には発表せず、規制当局にも報告しなかった。ジョー・サリバンCSO(最高セキュリティ責任者)とそのチームは事件を隠ぺいしようし、個人データをダウンロードした攻撃者に10万ドルを支払ってデータ削除を依頼した。Uberは、このデータが悪用された可能性はないとしている。
コスロシャヒ氏はサリバンCSOに辞職を求め、事件隠ぺいにかかわったもう1人の幹部を解雇したとBloombergは報じた。
Copyright © ITmedia, Inc. All Rights Reserved.