米ウーバー・テクノロジーズ(ウーバー)は米国時間2017年11月21日、2016年10月に約5700万件の個人情報漏洩を起こしていたと発表した。同社のWebサイト上でダラ・コスロシャヒCEOの執筆記事として公開している。

[画像のクリックで拡大表示]

 漏洩したのは、Uberユーザーの名前、メールアドレス、携帯電話番号。約60万人の運転手の運転免許証番号も漏洩した。外部のフォレンジックの専門家の調査によると、移動履歴、クレジットカード番号、銀行口座番号、社会保障番号、生年月日の漏洩は見つかってないという。

 Uberが利用する外部のクラウドサービスに不正アクセスがあり、データを窃取されたとしている。事件の認知後ただちにデータを保護し、不正アクセスを遮断。2016年11月にはクラウドストレージへのアクセス制限や管理などの対策を完了したという。ただ、影響のあった運転手やユーザー、規制当局に漏洩の事実を知らせなかった。

 ウーバーは運転手向けのWebページで「これは間違っていたと思う」と記載し、情報開示に至ったと説明している。インシデント対応をしたセキュリティ担当幹部2人を11月21日付で解任した。国家安全保障局(NSA)の国家テロ対策センターの元顧問であるマット・オルセン氏の力を借りて、セキュリティチームとプロセスの再構築を実施しているという。

 米ブルームバーグをはじめとした海外報道では、ウーバーはデータを消去するために攻撃者に10万ドル(1120万円)を支払ったとしている。