财经365讯(编辑 孙远之) 12月7日消息,据路透社报道,三名知情人士透露,佛罗里达一名20岁的男子应该对去年Uber大规模用户数据被盗事件负责,然而Uber没有将其揭发,而是通过所谓的“漏洞赏金”程序,向这名黑客支付了巨额金钱,条件是将这些被泄的数据销毁。
今年11月21日,Uber宣布公司在去年10月份,有5700万名乘客和60万名司机的个人数据被盗,并向黑客支付了10万美元,以销毁这些信息。但Uber并没有透露有关黑客的任何信息,也没有透露这笔钱是如何支付给他。
这些知情人士说,Uber去年通过一项旨在奖励那些报告公司软件缺陷的项目,向这名黑客付钱。Uber的“漏洞赏金”是由一家名为HackerOne的公司主办,后者还为许多科技公司提供服务。
Uber新上任的首席执行官Dara Khosrowshahi上月宣布公司违规时,还解雇了两名公司高级安全官员,称这一事件在去前发生的时候,就应当向监管机构披露。
目前尚不清楚究竟是谁批准向黑客支付该款项,并将其保密。不过消息人士说,当时的首席执行官特拉维斯·卡兰尼克(Travis Kalanick)在去年11月知道这一漏洞和以及“漏洞赏金”事件。
漏洞赏金高达10万美元太不寻常
一位前HackerOne高管表示,漏洞赏金达到10万美元是极不寻常的,这是个“空前的记录”。安全专家说,奖励那些盗窃数据的黑客,也会远远超出赏金计划的正常规则,因为解决这种事,通常都是5000美元到1万美元之间。
HackerOne为Uber提供漏洞赏金计划,但没有管理它。在决定支付金额是否合适,以及金额数量时,他们不能发挥任何作用。
HackerOne首席执行官Marten Mickos说,他不能讨论自己客户的项目。
他说:“每当HackerOne处理一个漏洞赏金时,我们会在发出奖金之前,会收到以IRS W- 9或W-8BEN本表格的形式发来的收件人信息。”他指的是美国国税局的表格。
据两名知情人士透露,Uber支付了这笔钱,以确认黑客身份,并让他签署了一份保密协议,以阻止其进一步的不法行为。
消息人士称,Uber还对黑客使用的计算机进行专业鉴定,以确保数据被清除。
一名消息人士称,这名黑客“与他的母亲住在一个小房子里,试图帮助支付账单”,并补充说,Uber安全团队成员并不想起诉一个似乎不能构成进一步威胁的人。
这名20岁的弗罗里达州的黑客还向第二个人支付了一笔费用,是后者帮助其访问GitHub网站。GitHub是一个被程序员广泛使用的网站,用来存储他们的代码,以获取访问Uber存放在其他地方的数据。
GitHub说,Uber此次被黑并不涉及安全系统的失败。“我们的建议是,不要在代码中存储访问令牌、密码或其他身份验证或加密密钥,”该公司在一份声明中说。
本月初,Uber三名高级安全经理从公司辞职。Pooja Ashok是三名辞职人之一,他曾首席安全官Joe Sullivan的幕僚长。在此之前,Joe Sullivan被公司解雇,原因是他试图掩盖导致5700万名乘客和600名司机个人信息被盗的安全漏洞。
以上就是创业资讯,更多资讯请关注财经365创业频道。
推荐阅读>>>