租車服務公司 Uber 於 2016 年爆發個資洩漏醜聞,Uber 前安全長喬瑟夫・沙利文(Joseph Sullivan)在得知公司用戶數據遭駭時,不但沒有向執法單位報備,反而是和駭客談判,欲以 10 萬美元等值的比特幣付「封口費」,現美國司法部(DOJ)已起訴沙利文。
遭駭事件發生於 2016 年 10 月,當時共有 5,700 萬筆全球乘客與司機的資料遭竊,美國司法部調查指出,駭客從數據庫下載大量用戶數據,包括用戶的登入 APP 的資料、60 萬名司機的駕照資訊。
遺憾的是,沙利文卻沒有選擇向警方報備,反而用最糟糕的方式處理,以漏洞賞金計劃(Bug Bounty Program)的名義支付駭客 10 萬美元等值比特幣,換取駭客刪除資料的承諾。通常漏洞賞金是用來支付那些指出漏洞的白帽駭客,而沙利文此舉無疑是在混淆聯邦貿易委員會(FTC)的視聽。
這件事情並沒有在當下就被爆料出,而是新任執行長科斯洛沙希(Dara Khosrowshahi)走馬上任後,科斯洛沙希才向 FTC 坦承此事。
據悉,沙利文是在 2016 年 12 月支付駭客 10 萬美元的比特幣,當時比特幣均價約為 973 美元,所以約等於 102.7 顆比特幣。時至今日,這一批比特幣身價已經暴漲至 121 萬美元,折合新台幣約為 3,500 萬。
風波不斷的 Uber
矽谷出發的 Uber 向來飽受爭議。它改變了原來計程車的定點、隨機載客模式,用媒合轎車的模式省下乘客、司機的大量成本,據稱能省下司機 50% 的油資。
過去 Uber 主要的爭議是以「租賃車」的名義,提供計程車服務。在一般租賃車的情況下,租賃車行是「出租人」,顧客是「承租人」。要是行車間發生意外或事故,顧客可直接找租賃車行負責。
但在 Uber 的狀況中,車行和顧客同樣是「出租人」與「承租人」的關係,而 Uber 只是「媒合平台」,這就會產生一個問題:「出事找誰負責?」
要知道,光是 2012 年到 2015 年 8 月間,Uber 就收到了約 170 起性侵案件,其中強暴案件發生率為九百萬分之一,性侵案件發生的幾率為三百三十萬分之一。不過現在 Uber 在台灣已經合法,其司機都必須考取「計程車執業登記證」,才能合法接單。
近來,由於疫情影響,Uber 在 2020 年 4 月的訂單量叫去年同期下跌 80%,其 Uber 執行長科斯洛沙希表示,為降低營運成本,決定關閉 45 間辦公室並裁員約 3,000 人,而這已經是近期 Uber 宣布兩次裁員計畫,不到一個月內員工總數減少 25%。
回到「封口費」案件本身
目前兩名竊取資料的駭客已在加州落網,兩名駭客也在去年十月認罪,目前正在等待判決。而沙利文則是被指控了妨礙司法公正,違反了偽造文書、妨礙公務等重罪起訴,現正等待首次的出庭時間。
美國檢察官大衛‧安德森(David Anderson)總結道:
「我們不會容忍和駭客私下的『非法和解』。 這裡是矽谷,不是以前的西大荒(類似蠻荒之地之意)。」