Uberが5700万人の乗客・ドライバーの個人情報を流出させてハッカーに金を払っていた件が明るみに

By 5chw4r7z

何かと法律関連で問題の渦中にあるUberで、1年以上前に利用者とドライバーの個人情報がハッカーによって盗まれていたことが明らかになりました。さらに当時のUberの担当者はハッカーの要求をのんで10万ドル(約1200万円)を支払っていたことも明るみになっており、事件に関わった人物はUberを追われています。

Uber Paid Hackers to Delete Stolen Data on 57 Million People - Bloomberg
https://www.bloomberg.com/news/articles/2017-11-21/uber-concealed-cyberattack-that-exposed-57-million-people-s-data

事件に関与した2人のハッカーは2016年11月ごろ、まずUberのソフトウェアエンジニアが使っていたGitHubに不正アクセスし、そこで入手したログイン情報を使ってUberが業務に使用していたAmazon Web Service (AWS)のアカウントにログイン。Uberが保存していた57万件の利用者及びドライバーの個人情報を不正に取得し、その事実をUberに突きつけて「身代金」を要求しました。当時のセキュリティ担当者は事件の発覚を恐れ、ハッカーの要求どおりに10万ドル(約1200万円)を支払っていたとのことです。

盗まれたデータには利用者の名前とメールアドレス、電話番号が5000万人分、そして700万人のドライバーの個人情報、つまり5700万人分の個人情報が含まれており、この中には60万人のアメリカ人ドライバーの運転免許証番号も含まれているとのこと。ただし、この中にはアメリカにおける社会保障番号やクレジットカード情報、Uberの利用履歴などは含まれないとしています。

この流出劇が起こったのは、Uberが別の個人情報流出問題を抱えていたタイミングでした。本来ならば流出の事実を報告して対応を取る義務がありましたが、当時の担当者はハッカーに身代金を払ってデータを破棄し、この件について公言しないことを求めています。事件の発覚を受け、Uberは盗まれた情報が悪用された形跡はないとし、またハッカーについての情報を明らかにしない方針を示しているとのこと。

事件当時のUberを率いていたのは、同社の共同設立者でCEOだったトラヴィス・カラニック氏。事件についてカラニック氏が知らされたのは発生から1カ月が経過した時点だったとのこと。その際にセキュリティ担当者だったジョー・サリバン氏は、連邦検事からFacebookを経てUberに加わった経歴を持つ人物で、一連の判断を中心となって担当していました。

By JD Lasica

Uberは画期的なライドシェアサービスとして登場しましたが、利用者が拡大する一方で、登録ドライバーによるレイプ事件や、ライバル会社の営業を妨害するために大量のニセ予約を送りつけるといった事件、そして訴訟状態にある相手を元CIA職員を使って調査するなど、世界各地でトラブルが目立っていたことは事実。カラニック氏に対しても「Uberを法的リスクに陥れている」とのステークホルダーからの圧力が強まったことで、カラニック氏は2017年6月にCEOの座を退き、現在は役員を務めています。

カラニック氏の後を受けてCEOに就任したダラ・コスロシャヒ氏は、Uberの風土を変えることが自身の使命である、としており、この一件に関しても「このような出来事は起こるべきではありませんでしたし、弁解するつもりもありません。Uberはビジネスのやり方を変えていく段階にあります」と語っています。