12月7日消息,據(jù)路透社報道,三名知情人士透露,佛羅里達(dá)一名20歲的男子應(yīng)該對去年Uber大規(guī)模用戶數(shù)據(jù)被盜事件負(fù)責(zé),然而Uber沒有將其揭發(fā),而是通過所謂的“漏洞賞金”程序,向這名黑客支付了巨額金錢,條件是將這些被泄的數(shù)據(jù)銷毀。
今年11月21日,Uber宣布公司在去年10月份,有5700萬名乘客和60萬名司機(jī)的個人數(shù)據(jù)被盜,并向黑客支付了10萬美元,以銷毀這些信息。但Uber并沒有透露有關(guān)黑客的任何信息,也沒有透露這筆錢是如何支付給他。
這些知情人士說,Uber去年通過一項(xiàng)旨在獎勵那些報告公司軟件缺陷的項(xiàng)目,向這名黑客付錢。Uber的“漏洞賞金”是由一家名為HackerOne的公司主辦,后者還為許多科技公司提供服務(wù)。
Uber新上任的首席執(zhí)行官Dara Khosrowshahi上月宣布公司違規(guī)時,還解雇了兩名公司高級安全官員,稱這一事件在去前發(fā)生的時候,就應(yīng)當(dāng)向監(jiān)管機(jī)構(gòu)披露。
目前尚不清楚究竟是誰批準(zhǔn)向黑客支付該款項(xiàng),并將其保密。不過消息人士說,當(dāng)時的首席執(zhí)行官特拉維斯·卡蘭尼克(Travis Kalanick)在去年11月知道這一漏洞和以及“漏洞賞金”事件。
漏洞賞金高達(dá)10萬美元太不尋常
一位前HackerOne高管表示,漏洞賞金達(dá)到10萬美元是極不尋常的,這是個“空前的記錄”。安全專家說,獎勵那些盜竊數(shù)據(jù)的黑客,也會遠(yuǎn)遠(yuǎn)超出賞金計(jì)劃的正常規(guī)則,因?yàn)榻鉀Q這種事,通常都是5000美元到1萬美元之間。
HackerOne為Uber提供漏洞賞金計(jì)劃,但沒有管理它。在決定支付金額是否合適,以及金額數(shù)量時,他們不能發(fā)揮任何作用。
HackerOne首席執(zhí)行官M(fèi)arten Mickos說,他不能討論自己客戶的項(xiàng)目。
他說:“每當(dāng)HackerOne處理一個漏洞賞金時,我們會在發(fā)出獎金之前,會收到以IRS W- 9或W-8BEN本表格的形式發(fā)來的收件人信息。”他指的是美國國稅局的表格。
據(jù)兩名知情人士透露,Uber支付了這筆錢,以確認(rèn)黑客身份,并讓他簽署了一份保密協(xié)議,以阻止其進(jìn)一步的不法行為。
消息人士稱,Uber還對黑客使用的計(jì)算機(jī)進(jìn)行專業(yè)鑒定,以確保數(shù)據(jù)被清除。
一名消息人士稱,這名黑客“與他的母親住在一個小房子里,試圖幫助支付賬單”,并補(bǔ)充說,Uber安全團(tuán)隊(duì)成員并不想起訴一個似乎不能構(gòu)成進(jìn)一步威脅的人。
這名20歲的弗羅里達(dá)州的黑客還向第二個人支付了一筆費(fèi)用,是后者幫助其訪問GitHub網(wǎng)站。GitHub是一個被程序員廣泛使用的網(wǎng)站,用來存儲他們的代碼,以獲取訪問Uber存放在其他地方的數(shù)據(jù)。
GitHub說,Uber此次被黑并不涉及安全系統(tǒng)的失敗。“我們的建議是,不要在代碼中存儲訪問令牌、密碼或其他身份驗(yàn)證或加密密鑰,”該公司在一份聲明中說。
本月初,Uber三名高級安全經(jīng)理從公司辭職。Pooja Ashok是三名辭職人之一,他曾首席安全官Joe Sullivan的幕僚長。在此之前,Joe Sullivan被公司解雇,原因是他試圖掩蓋導(dǎo)致5700萬名乘客和600名司機(jī)個人信息被盜的安全漏洞。