Uber 泄露用戶隱私後付錢私了，被英國和荷蘭罰款 117 萬美元

據 Financial Times 消息，Uber 因在 2016 年的一次網路攻擊中未能保護用戶的個人信息而被荷蘭和英國罰款共計 117 萬美元。其中，英國罰款 38. 5 萬英鎊（約 49. 1 萬美元），荷蘭罰款 60 萬歐元（約 67. 9 萬美元）。

黑客於 2016 年 11 月攻擊了 Uber 的雲伺服器，並下載了 16 個大文件，全球 5700 萬人的個人信息被非法獲取。其中包括司機和消費者的姓名、電話號碼、電子郵件地址、訂單以及駕駛路線等等，還有少數司機的駕照號碼被盜取。

在所有受害者中，現已知包括 17.4 萬荷蘭公民、270 萬英國用戶、8.2 萬英國司機以及 60 萬名美國司機等。

今年 9 月，該公司在與美國所有 50 個州和哥倫比亞特區達成協議後，被要求支付 1.48 億美元罰款並承諾加強數據安全保護。

英國政府網路安全監管機構信息專員辦公室（ICO）在調查後表示，2016 年，由前 Uber CEO 卡蘭尼克領導的公司在發現黑客攻擊後，不但沒有第一時間報警或告知被泄露信息的用戶，反而支付給黑客 10 萬美元以求息事寧人。

據《紐約時報》披露，這 10 萬美元是 Uber 作為「漏洞賞金」給予黑客的。雖然科技公司向發現該公司系統漏洞的「白帽子」（可以理解為不做壞事的黑客）支付賞金的做法非常普遍，但區分「白帽子」與黑客的一個很簡單的標準是，白帽子不會在發現漏洞後先自行下載泄露信息，再拿著信息去要挾公司「給我 6 位數的賞金我就刪除」。這種行為完全是勒索。

卡蘭尼克本人批准了這筆 10 萬美元的贖金。更滑稽的是，Uber 還曾試圖向該黑客提供一次全額報銷的舊金山之旅（舊金山是 Uber 所在地），想請對方來討論安全技術，並答應要將他介紹給對他技術感興趣的公司。但被該黑客拒絕。

美國伊利諾伊州總檢察長麗莎·馬迪根稱，此案是她見過的最令人震驚的案件之一，Uber 在明知隱私泄露的前提下將此案隱瞞了長達一年的時間，這是「不可原諒的」。

關於罰款金額的一個細節是，雖然英國比美國的受害者數量更多，但罰金額度卻更少。主要是因為這起數據泄露事件發生在 《通用數據保護條例》（GDPR）頒布之前，所以英國監管機構是基於 1998 年的數據保護法案來調查此次事件的。該法案僅允許監管機構處以最高 50 萬英鎊的罰款。

如果按照今年頒布的 GDPR 來審理此案，則監管部門可以對公司處以高達 2000 萬歐元或者相當於其利潤百分之四的罰金。2018 年 5 月後發生的新案件都將按照這個標準來執行。

Uber 在隨後發表聲明稱，很高興 2016 年的數據泄露事件終於審理結束。並表示，自 2016 年以來，該公司已經改善了數據管理條例，並在今年聘請了第一位首席隱私官和數據保護官。

「我們對領導層進行了重大調整，以確保向監管機構和用戶保持適當的透明度。我們從錯誤中吸取教訓，並繼續致力於每天贏得用戶的信任。」

題圖/visualhunt

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！