Uber、デーベース侵入によるドライバー5万人の情報流出を認める


Uberは本日(米国時間2/27)、昨年同社データベースが権限のない第三者によって侵入されていたことを発表した。同社は今日の午後、機密データ担当弁護士、Kathrine Tassiによる公式ブログ記事で侵入の事実を認めた。

事件は2014年5月13日に発生し、複数の州にわたる約5万人のドライバーの名前とナンバープレート番号が流出した。Uberによると、不正侵入によって情報を公開されたドライバーの数は、「現在および過去のドライバーパートナーの、わずかなパーセンテージ」であり、現在までに流出した情報が悪用された報告は受けていない。

Uberは現在ドライバーにこの件を通知している。

記事中Uberは、2014年9月に侵入を発見し、直ちにアクセスプロトコルを変更し調査を開始したと書いている。侵入があったことの一般への公表、および影響を受けたドライバーへの通知がここまで遅れたことについて、Uberは具体理由を述べていない。

Uberは、影響を受けたドライバーに対して、個人情報盗難保護サービスのExperian’s ProtecMyID Alertサービスを1年間無料で提供すると言っている。さらに同社は、ハッカーを特定するために “John Doe lawsuit”[匿名訴訟]を起こした。

Uberのブログ記事全文は以下の通り:

2014年後半、当社は権限のない第三者によるUberデータベースへの単発アクセスを発見した。データベースには、現在および過去のUberドライバーパートナーの、わずかなパーセンテージの名前およびナンバープレート番号が含まれていた。当社は発見後直ちにデータベースのアクセスプロトコルを変更し、不正アクセスの可能性を除去した。影響を受けたドライバーには通知を送っているが、本件に関わる情報の不正使用の報告は受けていない。

Uberは、個人情報保護に関する当社の責任を深刻に受け止めており、本件に起因するあらゆる不都合についてお詫びする。さらに当社は、この不正な第三者を特定し告発するための情報を集めるために、訴訟を起こした。

当社で把握している状況は以下の通り:

  • 2014年9月17日、当社のデータベースが第三者によってアクセスされた可能性があることを発見した。
  • 発見後直ちにアクセスプロトコルを変更し、詳細な調査を開始した。
  • 調査の結果、2014年5月13日に第三者による単発の不正アクセスがあったことを確認した。
  • 当社による調査の結果、この不正アクセスにより複数の州にわたる約5万名のドライバーが影響を受けたことがわかった。これは現在および過去のUberドライバーパートナーのわずかなパーセンテージに当たる。
  • アクセスされたファイルには、一部のドライバーパートナーの名前およびナンバープレート番号のみが含まれていた。
  • 現在までに、本件による実際の不正情報利用が起きた報告は受けていないが、影響を受けたドライバーには、通知を送ると共にクレジットカード明細等を見て不正な取引きがないことを確認することを推奨した。
  • UberはExperian’s® ProtectMyID® Alertの1年間無料使用権を提供する。
  • さらに当社は、不正の第三者を特定するための情報収集を可能にするため、”John Doe” 訴訟と呼ばれる訴訟を起こした。

[原文へ]

(翻訳:Nob Takahashi / facebook