10月9日消息,据外电报道,美国打车应用Uber于8个月前披露了一起严重的数据泄露事故。该公司目前正在追踪一个IP地址,分析黑客的来源。消息人士透露,该IP地址与公司美国市场竞争对手Lyft的首席技术官有关联。
Uber在今年2月证实,该公司数据库在去年遭到第三方的攻击,导致全美大约5万名司机的姓名和车牌号码等信息被泄露。这一事件发生于2014年5月13日。Uber表示,信息被曝光的司机数量只占“Uber 当前和之前签约的司机的一小部分”。随后,Uber在旧金山联邦法院提起诉讼,欲找出此次数据泄露事件的幕后黑手。
Uber在法庭文件中表示,一名未经证实的黑客使用一个康卡斯特的IP地址,通过获得安全密钥进行了这次攻击。消息人士称,该IP地址分配给了Lyft首席技术官克里斯·兰伯特(Chris Lambert)。Uber的法庭文件并未明确指出此IP地址与黑客有直接关联。事实上,这一IP地址并不是导致数据泄露的IP地址。
不过美国地方法官劳雷尔·比勒(Laurel Beeler)裁定,Uber通过传审康卡斯特纪录寻找的信息,“极有可能”有助于曝光此次黑客活动的幕后“黑手”。
Lyft发言人布兰登·麦考米克(Brandon McCormick)在本周一曾表示,公司调查此事件已有“相当长”一段时间,得出的结论是“没有证据证明包括兰伯特在内的任何Lyft员工,下载了Uber的司机信息或数据库,或者是同发生在2014年5月13日的数据库被攻击事件相关。”麦考米克拒绝透露该康卡斯特的IP地址是否归属于兰伯特。他也拒绝描述Lyft内部调查的范围,或是谁负责了此次调查。截至目前,兰伯特本人对此报道未予置评。
Uber在诉讼中指出,涉及此案件的黑客违反了《联邦反电脑欺诈与滥用法案》(federal Computer Fraud and Abuse Act),以及加利福尼亚州的相关法律。目前尚不清楚涉案黑客或其他人是否使用了被泄露的司机信息。
Uber在法庭文件中披露,在公司数据库被黑数月之后,该公司发现有人再使用Uber的数字安全密钥进入司机数据库。2014年3月,Uber曾不当的将此密钥副本发布到了代码开发平台GitHub的公司公共页面上。在Uber发现密钥被未经授权下载之后,该公司对所有密钥发布之后至被黑之间的访客IP地址进行了查阅。Uber得出的结论是,“这个康卡斯特IP地址是唯一未经Uber授权进入GitHub帖子的地址。”
不过这名康卡斯特用户的辩护律师在法庭上表示,包含有Uber密钥的网页属于公开网页,任何人都能够在未违法的情况下访问该网页。他们同时还强调,Uber被黑的攻击源来自于一个不同的IP地址。
消息人士透露,黑客使用了VPN对Uber发起了攻击。据悉,这名黑客使用的是斯堪的纳维亚半岛的一个国家的服务。
作为Uber在美国市场的主要竞争对手,Lyft当前的市值仅为25亿美元,远远不及前者的510亿美元。两家公司目前正在激烈的争夺司机和客户。
