Uber資料遭駭 竟支付10萬美元給駭客私了

吳栢妤 2017年12月07日 22:01:00

Uber疑似透過漏洞懸賞計劃,支付10萬美元給20歲的駭客。(湯森路透)

《路透》(Reuters)7日報導,3名知情人士向報社透露,「優步」(Uber)在2016年透過漏洞懸賞計劃(Bug Bounty Program),支付10萬美元(約新台幣302萬元)給一名住在佛羅里達州的20歲駭客,以銷毀遭竊取的顧客資料。

 

 

Uber與駭客簽訂保密協議

 

Uber在11月21日承認,該公司在2016年10月遭駭客竊取約5700萬筆乘客及駕駛資料,並支付給駭客10萬美元的贖金以銷毀資料並隱匿此事。不過當時Uber並沒有透露該名駭客的身份,以及公司支付贖金的方式。

 

2名知情人士向《路透》指出,Uber已付款確認該名駭客的身份,並與對方簽訂保密協議,阻止其進一步不法行為。而Uber也已針對駭客使用的工具及技術進行取證分析(forensics analysis),確認對方已將資料完全清除。

 

消息來源表示,因該名駭客並不構成進一步的威脅,Uber資安團隊才沒有採取法律行動。

 

對此,Uber發言人卡爾曼(Matt Kallman)拒絕回應,而《路透》目前也無法明確掌握這明駭客的身份。

 

漏洞懸賞

 

這幾年許多網路科技公司為了能更快發現並修復旗下軟體的資安漏洞,紛紛建立「漏洞懸賞」機制,提供獎金給透過合法手段找出漏洞的駭客。

 

包括Facebook、Twitter、Google以及Apple等公司皆有推動相關計劃,以保障客戶資料安全。

 

據報導,Uber在2016年推動漏洞懸賞計劃,與業界知名的漏洞眾測平台HackerOne合作。不過HackerOne只負責提供交流平台,並不介入管理業務,也無法干涉Uber要提供多少獎金給發現漏洞者。

 

 

前HackerOne高層:這非常不尋常

 

前HackerOne首席政策官穆蘇里斯(Katie Moussouris)向《路透》表示,Uber透過漏洞懸賞計劃支付高達10萬美元的贖金,並隱匿此事是「非常不尋常的」。

 

他指出,一般的獎勵金額通常落在5千至1萬美元(約新台幣15萬1千至30.2萬元)之間。此外,透過懸賞機制提供非法竊取資料的駭客獎勵金,也不符合常理。

 

「如果這是一個合法的漏洞懸賞,那所有參與人員都應該大方的讓外界知道此事。」穆蘇里斯說。

 

目前仍無法確定是誰批准向駭客支付該筆款項,並刻意隱匿消息。不過消息來源向《路透》表示,時任執行長的卡拉尼克(Travis Kalanick)在事件發生後一個月就得知資料遭竊,也清楚交付贖金的方式。

 

而公司內部及外部人士都指出,不論問題解決與否,Uber沒有及時向監管機構呈報資料遭竊一事,就是嚴重的錯誤。

 

疑從GitHub取得Uber資料庫入口憑證

 

據《路透》,一名消息來源指出,這名20歲的駭客聘用另一名人士,替他從程式碼管理平台GitHub上取得Uber資料庫入口憑證。

 

 

對此GitHub官方回應,此次的資料竊取事件,並不是其安全系統問題所導致。

 

「我們的建議是,不要將密碼、存取權杖或者其它身份驗證及加密金鑰儲存在程式碼中。」GitHub在其聲明中寫道。

喜歡這篇文章,請幫我們按個讚

熱門影音


【加入上報國際圈,把世界帶到你眼前!】

 

【上報徵稿】

上報歡迎各界投書,來稿請寄至editor@upmedia.mg,並請附上真實姓名、聯絡方式與職業身分簡介。

 

一起加入Line好友(ID:@upmedia),或點網址https://line.me/ti/p/%40zsq4746x

回頂端
關閉廣告