ウーバーは報告義務のあるデータ侵害を公表する代わりに、ハッカーに10万ドルを支払って口止めした。
トム・クレイジット著
ウーバーは「ビジネスのやり方を変えている」と主張し、昨年数百万人の個人情報を漏洩させたセキュリティ侵害事件の背後にいるハッカーらに、事件を口外しないよう金銭を支払っていたことを明らかにし、最高セキュリティ責任者ともう1人の従業員を解雇したと火曜日に発表した。
ブルームバーグによると、ジョー・サリバン氏は火曜日まで、ウーバーのセキュリティチームを率いており、2016年10月に発生したインシデントを隠蔽していた。このインシデントでは、2人の人物がウーバーのエンジニアが利用するGitHubサイトから盗み出した認証情報を使って同社のアマゾン・ウェブ・サービス(AWS)アカウントに侵入し、5,700万人の顧客と700万人のドライバーの個人情報にアクセスしたという。ウーバーの新CEO、ダラ・コスロシャヒ氏は、このインシデントに関する最近の調査で連邦当局への報告が法的に義務付けられていたため、運転免許証番号が不正アクセスされたと結論付けた。
そうではありませんでした。
「過去を消すことはできませんが、ウーバーの全従業員を代表して、私たちは失敗から学ぶことをお約束します」とコスロシャヒ氏は声明で述べた。「私たちはビジネスのやり方を変え、あらゆる意思決定の中核に誠実さを置き、お客様の信頼を得るために懸命に取り組んでいます。」
Uberは、今回のインシデントでクレジットカード番号や位置情報履歴データがアクセスされたとは考えておらず、自社システムへの侵入はなかったと強調している。攻撃者がどのようにしてUber従業員のGitHubアカウントに侵入したのか、また、データが実際に使用されたのか、あるいは第三者に売却されたのかどうかは不明だが、Uberは10万ドルの資金提供によってデータが削除されたと確信しているようだ。
さらに、この支払いと隠蔽は、Uberが以前のプライバシー問題で米国政府と和解交渉を行っていた時期とほぼ同時期に行われたという点も付け加えておきたい。もし規制当局がこの事件を知っていたら、交渉は明らかに別の方向へ進んでいた可能性があった。報道によると、Facebookの最高セキュリティ責任者を5年間務めた後、2015年にUberに入社したサリバン氏が、この事件への対応を担当していたという。
コスロシャヒ氏がウーバーに入社する前の企業文化に不満を抱いていたことが、同氏の声明にも表れていた。
なぜ1年も経って今になってこの件について話しているのかと疑問に思われるかもしれません。私も同じ疑問を抱き、すぐに何が起こったのか、そしてどのように対応したのかを徹底的に調査するよう求めました。特に昨年、影響を受けた個人や規制当局への通知を怠ったことについて、私は様々な対策を講じることにしました。
こうした措置には、Uberのセキュリティ部門の再編も含まれており、創業者のトラビス・カラニック氏が6月にCEOを解任されて以来、Uberのほぼすべての部門が根本から覆されたことを意味する。ライドシェアサービスのパイオニアであるUberは、世界中にサービスを展開することを目指し、企業価値を約700億ドルと驚異的な額の資金調達に成功している。また、法律といった厄介な問題に関しては、長年にわたり反骨精神を貫く評判を築いてきた。
