ウーバーは、米連邦取引委員会(FTC)が別のデータベースハッキングの疑いでウーバーを捜査していたにもかかわらず、同委員会からデータベースハッキングを隠蔽していたことが木曜日に明らかになった。
タクシーアプリメーカーの同社は、2014年にアマゾンがホストするクラウドストレージに保存されていた運転手の個人情報をハッカーが不正に閲覧するのを許可してしまい、「プライバシーとデータセキュリティの慣行について消費者を欺いた」とされた事件で、2017年8月にFTCと和解した。
しかし、騙されたのは客だけではなかった。規制当局が2014年のコンピューターセキュリティの失態を調査している間、同社は連邦捜査官から、より最近の2016年11月のデータベース侵入を隠蔽していた。
2016年の侵入の結果(この新興勢力は1年後の2017年11月にこれを公に認めた)、少なくとも2,500万件の名前とメールアドレス、2,200万件の携帯電話番号、そして60万件の運転免許証が悪意のある人物にアクセスされた。
さらに驚くべきことに、その個人情報は、FTCが調査していた2014年の失態とまったく同じ方法で漏洩した。Amazon Web ServicesのS3クラウドサーバーに保存されたデータは、Uberのエンジニアが何らかの方法でGitHubに公開したキーを使用してアクセスされたのだ。
Uberは2016年、「研究者」に情報消去の報酬として10万ドルを支払い、その金をバグ報奨金プログラムに寄付したことを明らかにした。後に、問題の人物はフロリダ州在住の20歳の男性で、母親と暮らしていることが明らかになった。
なるほど...
言うまでもなく、FTC はこれに感銘を受けておらず、Uber との 2017 年の合意 [PDF] を改訂し、将来的にコンピューター セキュリティの失敗を FTC に報告しなかった場合の民事罰を盛り込んだ。
「ウーバーは、プライバシーとセキュリティの慣行について消費者を誤解させた後、委員会が同社の2014年の極めて類似したデータ侵害を調査していたにもかかわらず、2016年に別のデータ侵害を受けたことを委員会に報告しなかったことで、不正行為をさらに悪化させた」と、FTCのモーリーン・オールハウゼン委員長代理は述べた。
「拡大和解案[PDF]の強化された条項は、Uberが将来同様の不正行為を行わないようにするために策定されている。」
Uberハッキング隠蔽:次の米国州訴訟は4分後に始まる
続きを読む
新たな規定には、Uber がプライバシー プログラムに関する第三者監査の報告書をすべて FTC に提出し、バグ報奨金報告書を保管することを義務付ける内容が含まれている。
改訂されたFTC協定は1か月間のパブリックコメントのために公開され、その後委員会はそれを最終決定するかどうかを決定する予定だ。
理論上は誰でも自分の意見を表明できるが、FTC はインターネットでの激しい論争を抑えるためにかなりの努力を払っている。FTC は連邦官報への投稿内の補足情報セクションでフィードバックの指示のみを提供し、その投稿がいつ公開されるかについては明らかにしていない。
「ダラ・コスロシャヒ氏がCEOとして当社に入社した際、彼はウーバーの全従業員を代表して、失敗から学び、ビジネスのやり方を変え、あらゆる意思決定の中核に誠実さを据えることを約束しました。それ以来、私たちは起こったことの責任を取ることで、まさにその約束を迅速に実行してきました」と、ウーバーの最高法務責任者トニー・ウェスト氏は声明で述べた。
「この事件を発表してからわずか数か月で、事実に合理的に適合する新たな要件を課すことで、過去の過ちに対するUberの責任を問うFTCとの迅速な解決に至ったことを嬉しく思います。」®
