ในเดือนเมษายน พ.ศ. 2566 สำนักงานกฎหมายของ Uber แจ้งคนขับว่าข้อมูลสำคัญของพวกเขาถูกขโมยจากการละเมิดข้อมูล ด้านล่างนี้ เราจะพูดถึงประวัติทั้งหมดของการละเมิดข้อมูลของ Uber และการละเมิดความเป็นส่วนตัว โดยเริ่มจากประวัติล่าสุด
เมษายน 2023: สำนักงานกฎหมายของ Uber รั่วไหลข้อมูลที่ละเอียดอ่อนเกี่ยวกับไดรเวอร์
ในเดือนเมษายน สำนักงานกฎหมายของ Uber, Genova Burnsแจ้งให้คนขับ Uber หลายคนทราบข้อมูลที่ละเอียดอ่อน ซึ่งรวมถึงหมายเลขประกันสังคมและหมายเลขประจำตัวผู้เสียภาษี ถูกขโมยจากการละเมิดข้อมูลของบริษัทกฎหมาย ทั้ง Genova Burns และ Uber ไม่ได้เปิดเผยจำนวนคนขับที่ได้รับผลกระทบจากการละเมิดข้อมูล
ธันวาคม 2022: ข้อมูล Uber ถูกขโมยในการโจมตีผู้ให้บริการบุคคลที่สาม
เมื่อวันที่ 10 ธันวาคม พ.ขุมทรัพย์ใหม่ของข้อมูล Uberปรากฏในฟอรัมที่ถูกละเมิด ข้อมูลเหล่านี้รวมถึงข้อมูลที่สามารถระบุตัวบุคคลได้ของพนักงาน Uber กว่า 77,000 คน ตลอดจนรายงานภายในและรหัสที่มา เห็นได้ชัดว่าข้อมูลถูกบุกรุกจากการโจมตี Teqtivity ซึ่งเป็นผู้ให้บริการบุคคลที่สาม
Uber ยืนยันว่าการละเมิดไม่เกี่ยวข้องกับการละเมิดของ Uber ที่เกิดขึ้นในเดือนกันยายน 2022 และระบุว่าซอร์สโค้ดที่เกี่ยวข้องในการละเมิดไม่ได้เป็นของ Uber Teqtivity ด้วยรับทราบการละเมิดและแจ้งให้ผู้ที่ได้รับผลกระทบทราบ ขณะนี้ยังไม่ปรากฏว่าข้อมูลลูกค้า Uber ถูกขโมยในการละเมิดข้อมูลครั้งนี้
กันยายน 2022: Lapsus$-Affiliated Hacker ประนีประนอม Uber
เมื่อวันที่ 15 กันยายน แฮ็กเกอร์ได้ประกาศในช่อง Slack ส่วนตัวของ Uber ว่าเขาได้ละเมิดบริษัท วิศวกรความปลอดภัยคนหนึ่งอธิบายไว้ให้กับนิวยอร์กไทมส์เป็น "การประนีประนอมโดยสิ้นเชิง" และระบุว่า "พวกเขาสามารถเข้าถึง Uber ได้อย่างเต็มที่" ซอร์สโค้ดของ Uber ฐานข้อมูลภายใน ช่องทางการสื่อสาร และอื่น ๆ ล้วนถูกบุกรุกจากการละเมิด
ดูเหมือนว่าจะเป็นการโจมตีแบบวิศวกรรมสังคม แฮ็กเกอร์ที่ใช้นามแฝงว่า “teapotuberhacker” สามารถผ่านการตรวจสอบสิทธิ์แบบหลายปัจจัยได้สำเร็จโดยการส่งสแปมซ้ำๆ กับพนักงาน Uber พร้อมคำขอให้อนุญาตการเข้าถึง โดยอ้างว่าเป็นพนักงานไอที แฮ็กเกอร์รายเดียวกันนี้อ้างสิทธิ์ในการละเมิด Rockstar Games
ในแถลงการณ์ออกเมื่อวันที่ 17 กันยายนUber กล่าวว่าพวกเขาไม่พบหลักฐานว่าเหตุการณ์เกี่ยวข้องกับการเข้าถึงข้อมูลผู้ใช้ที่ละเอียดอ่อน (เช่นประวัติการเดินทาง) Uber ได้เชื่อมโยงการละเมิดนี้กับกลุ่มแลปซัส$ซึ่งได้ประนีประนอมกับบริษัทต่างๆ เช่น Nvidia, Samsung และไมโครซอฟท์.
สิงหาคม 2020: Uber กินข้อมูลผู้ใช้ที่พบใน Dark Web
ในสิงหาคม 2563Cyble บริษัทรักษาความปลอดภัยทางไซเบอร์ค้นพบข้อมูลส่วนบุคคลของลูกค้า Uber Eats และคนขับบนเว็บมืด โดยรวมแล้ว มีการค้นพบไฟล์ลูกค้าประมาณ 579 ไฟล์ รวมถึงข้อมูลส่วนบุคคลที่เกี่ยวข้องกับคนขับ Uber 100 คน
กันยายน 2018: Uber และ FTC ยุติข้อตกลงมูลค่า 148 ล้านดอลลาร์สำหรับการปกปิดการละเมิดข้อมูลในปี 2559
ในกันยายน 2561Uber และ Federal Trade Commission บรรลุข้อตกลงเกี่ยวกับการละเมิดข้อมูลสองครั้งก่อนหน้านี้ในปี 2014 และ 2016 ที่สำคัญ Uber ได้ปกปิดการละเมิดข้อมูลในปี 2016 แม้ว่าพวกเขาจะอยู่ภายใต้การสอบสวนของ FTC ในเวลานั้นก็ตาม ในท้ายที่สุด Uber ต้องจ่ายค่าปรับ 148 ล้านดอลลาร์เพื่อปกปิดการละเมิดข้อมูลในปี 2559
ตามข้อตกลงนี้ Uber ยังคงต้องรับโทษเพิ่มเติมหากไม่เปิดเผยการละเมิดข้อมูลในอนาคต ข้อตกลงนี้ยังกำหนดให้ Uber ใช้ "โปรแกรมความเป็นส่วนตัวที่ครอบคลุมและเป็นเวลา 20 ปีเพื่อรับการประเมินจากบุคคลที่สามที่เป็นอิสระทุกสองปี"
พฤศจิกายน 2017: บทความของ Bloomberg เปิดเผยการละเมิดข้อมูลของ Uber และการปกปิดข้อมูล
ในปี 2560Bloomberg เผยแพร่บทความซึ่งพวกเขาเปิดเผยว่า Uber ได้ปกปิดการละเมิดข้อมูลเมื่อปลายปี 2559 หลังจากแฮ็กเกอร์สองคนขโมยข้อมูลลูกค้า 57 ล้านราย Uber จ่ายเงินให้พวกเขา 100,000 ดอลลาร์เพื่อลบข้อมูลและดำเนินการกวาดล้างเหตุการณ์นี้ต่อไป แม้ในขณะที่พวกเขากำลังเจรจาอย่างแข็งขัน ข้อตกลงกับ FTC เกี่ยวกับการละเมิดข้อมูลครั้งก่อน
ในการตอบสนอง Dana Khosrowshahi CEO ของ Uber ได้เผยแพร่บล็อกโพสต์ซึ่งเขาชี้แจงเกี่ยวกับเหตุการณ์ดังกล่าวและระบุขั้นตอนที่ Uber ดำเนินการเพื่อป้องกันการละเมิดข้อมูลในอนาคต ในนั้น Khosrowshahi กล่าวว่าเขาเพิ่งรู้เรื่องเหตุการณ์เมื่อการสอบสวนของ Bloomberg กำลังดำเนินการอยู่ และพูดตามตรง เขาไม่ได้ถูกจ้างโดย Uber เมื่อมันเกิดขึ้น
สิงหาคม 2017: Uber ตกลงกับ FTC เกี่ยวกับปัญหาความปลอดภัยของข้อมูลและความเป็นส่วนตัว
ในเดือนสิงหาคม 2017 Uberมาถึงการตั้งถิ่นฐานกับคณะกรรมาธิการการค้าแห่งสหพันธรัฐ ส่วนหนึ่งของข้อตกลงนี้เกี่ยวข้องกับ "God View" ซึ่ง Uber ติดตามตำแหน่งของนักข่าวและคนดังที่เฉพาะเจาะจง นอกจากนี้ยังอ้างถึงปัญหาด้านความปลอดภัยของข้อมูล เช่น การละเมิดในเดือนพฤษภาคม 2014 ซึ่งอธิบายไว้ในบทความนี้
เมื่อพวกเขามาถึงข้อตกลงนี้ Uber ได้ปกปิดการละเมิดข้อมูลอีกครั้งซึ่งเกิดขึ้นในปลายปี 2559 เนื่องจาก Uber ไม่เปิดเผยเหตุการณ์นี้ FTC จึงถอนตัวออกจากข้อตกลงในเดือนสิงหาคม 2560 ซึ่งนำไปสู่การยุติคดีใหม่ในปี 2561
ธันวาคม 2559: Uber จ่ายเงินให้แฮ็กเกอร์ $100,000 หลังการละเมิดความปลอดภัย
ในเดือนพฤศจิกายน 2559 แฮ็กเกอร์ที่ไม่รู้จักสองคนส่งอีเมลถึง Joe Sullivan หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยของ Uber เพื่อแจ้งให้ทราบว่าพวกเขาใช้ช่องโหว่และขโมยข้อมูลส่วนตัวของลูกค้า Uber จำนวน 57 ล้านราย ในการตอบสนอง ซัลลิแวนจ่ายเงินให้แฮ็กเกอร์ $100,000 เพื่อลบข้อมูลและปิดปากเงียบเกี่ยวกับเหตุการณ์นี้
แม้ว่า Uber จะอยู่ภายใต้การสอบสวนของ FTC ในช่วงเวลาที่เกิดเหตุ แต่พวกเขาก็ไม่ได้เปิดเผยการแฮ็คต่อทางการ ซัลลิแวนสื่อสารกับ Travis Kalanick ซึ่งเป็น CEO ในขณะนั้นแทน ซึ่งสนับสนุนให้เขามองว่าเป็น “สถานการณ์ที่เรียกค่าหัวจากบั๊ก” ซึ่งหมายถึงกรณีที่บริษัทเสนอเงินรางวัลให้แฮ็กเกอร์หมวกขาวเพื่อระบุช่องโหว่
ในที่สุดเหตุการณ์ก็กระจ่างขึ้นในเดือนพฤศจิกายน 2560 เมื่อสำนักข่าวบลูมเบิร์กรายงานว่าในสิ่งที่เกิดขึ้น ในการตอบสนอง Dana Khosrowshahi ซีอีโอคนใหม่ของ Uber ได้ขอให้ซัลลิแวนลาออก ซัลลิแวนเป็นกำลังเผชิญหลายข้อหาที่เกี่ยวข้องกับเหตุการณ์ รวมถึงการขัดขวางกระบวนการยุติธรรม การปกปิดความผิดทางอาญา และการฉ้อฉลทางโทรศัพท์
ในที่สุดแฮ็กเกอร์สองคนก็ถูกจับได้: Brandon Charles Glover และ Vasile Mereacre ถูกฟ้องในปี 2018 เนื่องจากพยายามรีดไถ Lynda.com ในปี 2019 ทั้งคู่สารภาพถึงบทบาทของพวกเขาในการแฮ็ค Uber ด้วย
ธันวาคม 2559: คดีฟ้องร้องพนักงาน Uber ติดตามบุคคลที่มีชื่อเสียงสูง
ในธันวาคม 2559มีการยื่นฟ้องโดยอ้างว่าพนักงานของ Uber ติดตามบุคคลที่มีชื่อเสียงโดยไม่มีสาเหตุ รวมถึงนักการเมืองและคนดังบางคน ในขณะที่ Uber ได้วางข้อจำกัดสำหรับ “God View” (จากนั้นเปลี่ยนชื่อเป็น “Heaven View”) การฟ้องร้องอ้างว่ากิจกรรมการติดตามที่ไม่เหมาะสมยังดำเนินอยู่
คดีดังกล่าวเป็นข่าวไม่นานหลังจากที่แอป Uber เวอร์ชันหนึ่งเปิดตัวซึ่งมีความสามารถในการติดตามตำแหน่งของผู้ใช้แม้ว่าพวกเขาจะไม่ได้ใช้แอปก็ตาม ตามที่ กพฤศจิกายน 2559รายงาน สิทธิ์ใหม่ไม่เหมาะกับผู้ใช้จำนวนมาก โดยเฉพาะอย่างยิ่งเนื่องจากพวกเขาไม่ได้รับตัวเลือกให้อนุญาตการติดตามตำแหน่งเมื่อแอปทำงานเท่านั้น
พฤศจิกายน 2014: Uber ใช้ "God View" เพื่อติดตามนักข่าวและคนดัง
ในเดือนพฤศจิกายน 2014 Josh Mohrer ผู้บริหารของ Uber ใช้ “God View” ของ Uberเพื่อติดตามตำแหน่งของนักข่าว Buzzfeed. “God View” นี้เข้าถึงได้อย่างกว้างขวางสำหรับพนักงาน Uber และเรื่องราวดังกล่าวทำให้สาธารณชนโวยต่อการละเมิดความเป็นส่วนตัวของ Uber
เมื่อ “God View” ตกอยู่ภายใต้กระแสไฟ Uber จึงดึงดูดการตรวจสอบเพิ่มเติมเมื่อ Emil Michael ผู้บริหาร Uber อีกคนพูดจาลวนลามนักข่าวในการสนทนามื้อค่ำ ในการตอบสนองต่อเหตุการณ์เหล่านี้ อัยการสูงสุดของนิวยอร์กปรับ Uber 20,000 ดอลลาร์ในเดือนมกราคม 2559
พฤษภาคม 2014: แฮ็กเกอร์เข้าถึงข้อมูลผู้ใช้มากกว่า 100,000 รายการ
ในพฤษภาคม 2014แฮ็กเกอร์เข้าถึงข้อมูลลับของผู้ใช้ Uber 100,000 ราย ข้อมูลถูกจัดเก็บในรูปแบบข้อความธรรมดาบนเซิร์ฟเวอร์ Amazon Web Services รหัสการเข้าถึงที่เก็บข้อมูลได้จบลงที่ GitHub หลังจากที่วิศวกรซอฟต์แวร์ของ Uber แบ่งปันรหัสบนแพลตฟอร์ม ทำให้ทุกคนที่มีรหัสได้รับสิทธิ์การดูแลระบบอย่างเต็มที่บนเซิร์ฟเวอร์นั้นๆ
เมื่ออยู่ในเซิร์ฟเวอร์ แฮ็กเกอร์เข้าถึงไฟล์เดียว ไฟล์ดังกล่าวประกอบด้วยข้อมูลคนขับ Uber ซึ่งรวมถึงชื่อและใบขับขี่ 100,000 ชื่อ ตลอดจนไฟล์ชื่อ บัญชีธนาคาร และหมายเลขเส้นทาง 215 รายการ และชื่อและหมายเลขประกันสังคมรวมกัน 84 รายการ ข้อมูลที่ละเอียดอ่อนอื่นๆ อยู่ในไฟล์ด้วย
กันยายน 2554: Uber ใช้ "God View" เพื่อแสดงตำแหน่งของผู้ใช้
ในเดือนกันยายน 2014 Peter Eagle Sims ผู้ประกอบการด้านเทคโนโลยีและนักเขียนได้ถ่ายทอดเรื่องราวเกี่ยวกับ "God View" ที่รุกรานของ Uber ซึ่งเขาค้นพบในปี 2554 ผ่าน "God View" ผู้บริหารของ Uber สามารถติดตามตำแหน่งของผู้ใช้ที่เฉพาะเจาะจงได้
ซิมส์เริ่มรู้จัก God View เมื่อนักข่าวส่งข้อความถึงเขาจากงานเปิดตัว Uber ในชิคาโกในปี 2554 เพื่อเป็นการหลอกลวง Uber แสดงตำแหน่งของผู้ใช้เฉพาะต่อหน้าแขก นี่เป็นเหตุการณ์แรกที่ทราบเกี่ยวกับ God View ซึ่งพนักงาน Uber สามารถเข้าถึงได้อย่างกว้างขวางตั้งแต่ปี 2554 ถึง 2560
เราไม่พบบันทึกการละเมิดข้อมูลหรือการละเมิดความเป็นส่วนตัวที่เกี่ยวข้องกับ Uber ก่อนหน้านี้