Sốc: Uber che đậy vụ tấn công đánh cắp dữ liệu 50 triệu khách hàng

Hacker đã đánh cắp thông tin cá nhân của 57 triệu khách hàng và tài xế từ Uber trong vụ rò rỉ dữ liệu khổng lồ mà công ty đã che đậy hơn 1 năm. Tuần này, công ty đuổi việc Giám đốc an ninh cùng một cấp dưới vì giấu diếm vụ việc, bao gồm cả chi 100.000 USD cho hacker.

Dữ liệu bị xâm phạm từ vụ tấn công tháng 10/2016 có tên, địa chỉ email và số điện thoại của 50 triệu hành khách Uber khắp thế giới, bên cạnh thông tin cá nhân của khoảng 7 triệu tài xế. Vào thời điểm ấy, Uber đang thương lượng với các nhà chức trách Mỹ trong vụ vi phạm quyền riêng tư khác. Dịch vụ gọi xe cho biết giờ đây, họ có nghĩa vụ phải báo cáo vụ việc cho giới chức và những tài xế bị ảnh hưởng. Uber tin rằng thông tin chưa bao giờ bị lợi dụng nhưng từ chối tiết lộ danh tính kẻ tấn công. Sau tiết lộ này, Tổng chưởng lý New York đã ra lệnh điều tra ngay lập tức.

Hacker xâm nhập thành công nhiều công ty trong vài năm qua. Cùng với Uber, Yahoo, MySpace, Target, Anthem, Equifax cũng là những nạn nhân của chúng. Điều đáng lo ngại hơn là tuy số lượng không lớn bằng, Uber lại chọn cách che giấu. Đây cũng là bê bối mới nhất mà tân CEO Dara Khosrowshahi được “thừa hưởng” từ Travis Kalanick.

Theo Uber, Kalanick đã biết về vụ tấn công vào tháng 11/2016. Joe Sullivan, quan chức vừa bị Uber đuổi việc, phụ trách mọi phản ứng trước vụ việc. Ông đóng vai trò trung tâm trong việc ra quyết định. Tháng trước, ban quản trị Uber tiến hành điều tra vào các hoạt động của nhóm an ninh và phát hiện sự cố.

Vụ tấn công diễn ra như sau: 2 hacker truy cập vào trang GitHub riêng tư do các kỹ sư phần mềm Uber sử dụng rồi dùng thông tin đăng nhập lấy được từ đây để lấy dữ liệu lưu trữ trên tài khoản Amazon Web Services dùng để xử lý các nhiệm vụ điện toán cho công ty. Từ đó, chúng phát hiện ra kho lưu trữ thông tin hành khách và tài xế, rồi email tống tiền Uber.

Kể từ khi thành lập năm 2009, Uber gặp không ít sóng gió trong lĩnh vực pháp lý. Mỹ đã mở ít nhất 5 cuộc điều tra vào các hành vi hối lộ, phần mềm trái phép, khung giá và đánh cắp tài sản sở hữu trí tuệ của công ty. Uber còn đối mặt với hàng tá vụ kiện dân sự. Chính phủ các nước khác cũng thực hiện nhiều biện pháp để cấm dịch vụ này. Tháng 1/2016, New York phạt Uber 20.000 USD vì không tiết lộ một vụ rò rỉ dữ liệu vào năm 2014.

CEO mới nói mục tiêu của ông là thay đổi cách vận hành của Uber. Uber đã thông báo cho nhà chức trách thành phố và FTC về vụ tấn công tháng 10/2016 vào hôm 21/11. Ông cũng yêu cầu Sullivan từ chức và sa thải luật sư dưới quyền Craig Clark. Trong email, ông viết: “Dù không thể xóa bỏ quá khứ, tôi có thể cam kết thay mắt mọi nhân viên Uber rằng chúng tôi sẽ rút kinh nghiệm từ các sai lầm”.

Uber đã tuyển dụng Matt Olsen, cựu luật sư trưởng của Cơ quan an ninh quốc gia NSA và Giám đốc Trung tâm chống khủng bố làm cố vấn. Ông sẽ giúp tái cơ cấu bộ phận an ninh. Mandiant, công ty bảo mật của FireEye, được thuê để điều tra vụ tấn công.