歐洲國家正一個接一個地對Uber開出罰單,以懲罰其不當處理2016年數據洩露事件。12月20日,法國數據監管機構CNIL宣佈為Uber開出46萬美元罰單。因早在2016年,Uber大規模數據洩露影響到了包括140萬法國用戶在內的5700萬全球用戶。
Uber
根據CNIL的報告稱,黑客正使用來自這些洩露數據的登錄名和密碼連接到Uber的GitHub存儲庫,然後再設法連接到Uber的亞馬遜網絡服務帳戶並下載用戶數據,更誇張的是AWS登錄信息以純文本格式存儲在GitHub上。
CNIL表示,其實只要做到以下任何一點,這一巨大危機本身並不難以避免。Uber只需要為私有GitHub存儲庫強制進行雙因素身份驗證;Uber沒有在GitHub上以純文本形式存儲AWS登錄信息(這是網絡安全的基本操作),Uber使用IP白名單連接到AWS。
遺憾的是,Uber首先試圖通過向黑客支付10萬美元來刪除數據集來掩蓋違規行為,後來東窗事發。對Uber來說,唯一好消息是歐盟GDPR來得晚了一點,目前,如果一家公司在72小時內沒有向相關機構報告違規行為,他們最終可能會被罰款高達公司全球年營業額的4%。英國和荷蘭當局此前分別對Uber罰款49萬美元和69萬美元。
分享到:
閱讀更多 智車派 的文章
