Uber заплатила хакеру за молчание об утечке данных через программу bug bounty

Uber заплатила хакеру за молчание об утечке данных через программу bug bounty

Uber провела платеж через программу выплаты вознаграждений за выявленные уязвимости на платформе HackerOne.

Компания Uber Technologies заплатила $100 тыс. 20-летнему хакеру из Флориды (США) за молчание об утечке данных через свою программу компенсации за сообщения об обнаруженных уязвимостях в ПО, сообщает информагентство Reuters со ссылкой на осведомленные источники.

Речь идет о взломе и хищении персональных данных 57 млн клиентов и водителей компании в октябре 2016 года. Uber сообщила об инциденте в конце ноября нынешнего года, а также призналась в выплате ответственному за взлом хакеру $100 тыс. за уничтожение похищенной информации, однако не раскрыла ни его личность, ни метод, которым производилась оплата.

Согласно источникам агентства, Uber провела платеж через программу выплаты вознаграждений за выявленные уязвимости на платформе HackerOne. Корреспонденты Reuters не смогли установить личности хакера и его сообщника. По словам одного из бывших топ-менеджеров HackerOne, выплата в размере $100 тыс. является беспрецедентной для платформы. Плата за похищенные данные выходит далеко за рамки условий подобных программ, в которых суммы наград обычно варьируются от $5 тыс. до $10 тыс., отмечают эксперты в области безопасности.

HackerOne не занимается управлением программы Uber и не принимает решения относительно выплат и их размеров. По словам гендиректора HackerOne Мартена Микоса (Marten Mickos), во всех «случаях, когда награда проходит через HackerOne, мы получаем информацию о получателе в формах IRS W-9 или W-8BEN перед тем, как платеж будет сделан».

В минувшем году Uber получила анонимное письмо с требованием выкупа за пользовательские данные. В рамках стандартной практики компании сообщение было перенаправлено команде, отвечающей за управление программой выплаты вознаграждений, рассказали источники.

По данным источников агентства, Uber произвела платеж для подтверждения личности хакера и подписи договора о неразглашении с целью предотвращения дальнейших злонамеренных действий. Кроме того, компания провела проверку компьютера хакера, чтобы удостовериться, что все похищенные данные были удалены. Команда безопасности Uber решила отказаться от уголовного преследования хакера, посчитав его не представляющим дальнейшую угрозу, отметил один из собеседников.

По словам одного из источников, хакер работал с сообщником, который получил доступ к учетным данным Uber на GitHub. По словам представителей портала, система безопасности GitHub не была скомпрометирована. Они также порекомендовали не «никогда не включать в код токены доступа, пароли или ключи шифрования».

В конце ноября Uber освободила от занимаемых должностей главу службы безопасности Джо Салливана (Joe Sullivan) и его заместителя Крейга Кларка (Craig Clark), руководивших принятием ответных мер в связи с инцидентом.

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!