2016年,英国和荷兰当局因泄露700万名驾驶员和5700万名乘客的个人数据而对欧洲Uber处以120万美元的罚款。 其中包括大约270万名来自英国的乘客和8.2万名驾驶员以及17.4万名荷兰公民的信息被盗。 相比之下,在优步,优步同意支付1.48亿美元进行审判前和解。
泄露的信息包括姓名,电子邮件地址和电话号码,以及60万个美国驾照号码。
让我提醒您,在2016年10月,Uber向一名攻击者支付了10万美元,这名攻击者原来是20岁的美国人,他删除数据并没有宣传盗窃个人数据的行为。
当Uber Dara Khosrovshahi的新任负责人发表声明时,公众在2017年11月21日意识到了这一事件。 他说,没有对公司内部IT系统进行黑客攻击。 据他介绍,该公司使用第三方云存储服务,在该服务上发布了窃取的信息,勒索软件也可以访问该服务。
在这种情况下,我们要同时讨论两个云服务:GitHub和Amazon Web Services(AWS)。 GitHub是最大的协作源代码开发和存储服务,Uber开发人员在其中将访问密钥保存到其在AWS中的公司帐户。 由于源代码存储库是开放的,因此任何人都可以获取信息来访问存储在亚马逊云中的Uber数据。 攻击者使用来自GitHub的密钥访问了AWS,因此攻击者从那里下载了16个带有个人数据的文件。 关于防止GitHub上的数据泄漏,我们在Habré上撰写了另一篇文章 。
应当指出,这些罚款甚至在《通用数据保护条例》(GDPR)生效之前由英国和荷兰当局实施。
有关个别数据泄漏案例的常规新闻很快就会在“ 信息泄漏 ”频道上发布。