Uber借漏洞獎勵向20歲黑客付款 掩蓋大規模數據泄露

Uber

鳳凰科技訊 據路透社北京時間12月7日報道，知情人士稱，造成Uber在去年發生大規模數據泄露事件的是一位20歲佛羅里達州男子。Uber以所謂的「漏洞獎勵」項目名義向這位男子付款，以銷毀數據。漏洞獎勵項目一般被企業用於查找小型代碼漏洞。

Uber在11月21日宣布，在去年10月發生的一起入侵事件中，5700萬名乘客和60萬名司機的個人數據被盜，公司向黑客支付了10萬美元以銷毀這些信息。然而，Uber並未披露這位黑客的任何信息，也沒有說明它是如何向黑客付款的。

知情人士稱，Uber通過漏洞獎勵項目支付了這筆款項，該項目原本是為了獎勵發現公司軟體漏洞的安全研究人員。Uber的漏洞獎勵服務由一家名為HackerOne的公司託管，後者將其平台提供給了許多科技公司。HackerOne託管Uber漏洞獎勵項目，但無法管理它，不能確定支付的獎勵是否合理，金額應該多大。

路透社無法確認這位黑客的身份，也無法確認另外一名幫助他實施入侵的人的身份。Uber發言人不予置評。

知情人士稱，Uber通過支付這筆款項確認了黑客的身份，並讓他簽署了保密協議以阻止他再做違法事情。Uber還對黑客的機器實施了法醫式檢查，確保數據已被清理。

據悉，這位黑客「與他的母親住在一所小房子內，實施入侵是為了交賬單」。Uber安全團隊成員並不想起訴他，因為他看起來不會造成更多威脅。

這位黑客向協助他訪問GitHub的第二個人支付了一筆費用，目的是獲取憑證訪問存儲在其它地方的Uber數據。GitHub是一個被程序員普遍用來存儲代碼的網站，該網站表示，這一攻擊事件並未牽扯到它的安全系統漏洞問題。

Uber內部人士和外部人士均認為，即便Uber可能感覺已經解決了這一問題，但是沒有向監管部門報告這一數據泄露事件是一個錯誤。

隨後，Uber解僱了公司首席安全官喬·沙利文(Joe Sullivan)及其副手、律師克雷格·克拉克(Craig Clark)。沙利文和克拉克尚未置評。(編譯/簫雨)

新鮮有料的產業新聞、深入淺出的企業市場分析，輕鬆有趣的科技人物吐槽。鳳凰科技（ID: ifeng_tech），讓科技更性感。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！