来源: 时间:2022-06-28 15:35:07
一名20岁的佛罗里达州男子负责去年在Uber Technologies Inc发生的大规模数据泄露事件,并由Uber支付费用,以通过通常用于识别小代码漏洞的所谓 “bug bounty” 程序销毁数据,熟悉事件的人士告诉路透社。优步11月21日宣布,在2016年10月发生的一起泄密事件中,5700万名乘客和600,000名司机的个人数据被盗,并向黑客支付了100,000美元,以销毁这些信息。但该公司没有透露任何关于黑客的信息,也没有透露如何向他支付这笔钱。
这些人说,优步去年通过一项旨在奖励报告公司软件缺陷的安全研究人员的计划支付了这笔款项。Uber的bug赏金服务 (该程序在业界广为人知) 由一家名为HackerOne的公司托管,该公司向许多科技公司提供其平台。路透社无法确定黑客或消息人士称帮助他的其他人的身份。Uber发言人马特·卡尔曼 (Matt Kallman) 拒绝对此事发表评论。
新任命的Uber首席执行官Dara Khosrowshahi在上个月宣布违规行为时解雇了Uber的两名高级安全官员,称该事件应在大约一年前被发现时向监管机构披露。目前尚不清楚是谁最终决定授权向黑客付款并对违规行为保密,尽管消息人士称当时的首席执行官特拉维斯·卡兰尼克 (Travis Kalanick) 知道去年11月的违规行为和漏洞赏金。
卡兰尼克 (Kalanick) 的发言人说,辞去了6月Uber首席执行官一职的卡兰尼克 (Kalanick) 拒绝对此事发表评论。通过bug赏金计划支付100,000美元将是非常不寻常的,一位前HackerOne高管表示,这将代表 “历史记录”。安全专业人员表示,奖励窃取数据的黑客也将远远超出赏金计划的正常规则,赏金通常在5,000美元至10,000美元之间。
HackerOne托管了Uber的bug赏金计划,但没有对其进行管理,并且在决定支出是否合适或应该支付多少方面没有任何作用。HackerOne首席执行官Marten Mickos表示,他无法讨论独立客户的计划。“在通过HackerOne处理bug赏金奖励的所有情况下,在支付奖励之前,我们都会以IRS W-9或W-8BEN表格的形式收到收件人的识别信息,” 他指的是美国国税局表格。
据其中两名消息人士称,优步支付这笔款项是为了确认黑客的身份,并让他签署保密协议,以阻止进一步的不当行为。消息人士称,优步还对黑客的机器进行了法医分析,以确保数据已被清除。一位消息人士称,这名黑客 “和他妈妈住在一个试图帮助支付账单的小房子里”,并补充说,优步安全团队的成员不想起诉一名似乎没有构成进一步威胁的个人。
一位消息人士说,佛罗里达黑客向第二人支付了涉及访问GitHub的服务的费用,GitHub是程序员广泛使用的用于存储其代码的站点,以获取访问存储在其他地方的Uber数据的凭据。GitHub表示,该攻击并未涉及其安全系统的故障。该公司在一份声明中表示: “我们的建议是永远不要在代码中存储访问令牌、密码或其他身份验证或加密密钥。”
据三位知情人士透露,优步去年收到了一封匿名人士的电子邮件,要求以换取用户数据,该消息被转发给该公司的bug赏金团队,这被描述为优步进行此类招揽的常规做法。Bug赏金程序主要是为了激励安全研究人员报告他们在公司软件中发现的弱点。但是,当与非法获取信息或寻求赎金的黑客打交道时,可能会出现复杂的情况。
一些公司选择不向当局报告更激进的入侵行为,理由是直接与黑客进行谈判可以更容易,更有效,以限制对客户的任何伤害。根据Luta Security创始人、前HackerOne高管凯蒂·穆苏里斯 (Katie Moussouris) 的说法,优步当时100,000美元的支出和对此事的沉默是非同寻常的。穆苏里斯说: “如果这是一个合法的漏洞赏金,那么每个参与其中的人都可以在屋顶上大喊大叫。”
据与路透社交谈的公司内外人士称,优步未能向监管机构报告违规行为,尽管它可能认为它已经解决了这个问题,但这是一个错误。穆苏里斯说: “bug赏金计划的创建不允许优步、他们的赏金服务提供商或任何其他公司决定违反通知法律不适用于他们。”优步解雇了其首席安全官乔·沙利文 (Joe Sullivan) 和一名副手律师克雷格·克拉克 (Craig Clark),原因是他们在事件中的角色。
Khosrowshahi在上个月宣布黑客攻击的博客中说: “这一切都不应该发生,我不会为此找借口。”据三位知情人士透露,克拉克直接为沙利文工作,但也向优步的法律和隐私团队报告。目前尚不清楚克拉克是否通知了Uber的法律部门,该部门通常处理披露问题。沙利文和克拉克没有回应置评请求。
前检察官兼Facebook公司安全负责人沙利文 (Sullivan) 在接受路透社8月采访时说,他将Uber的安全工程师和开发人员与我们的律师和我们的公共政策团队整合在一起,他们知道监管机构关心什么。上周,优步安全部门又有三名高级管理人员辞职。消息人士告诉路透社,其中一位是物理安全负责人杰夫·琼斯 (Jeff Jones),后来告诉其他人,他无论如何都会离开。三名高级安全工程师prithvi Rai中的另一名后来同意继续担任新职务。
相关推荐
猜你喜欢