Uber wypłacił 20-letniemu mężczyźnie z Florydy (USA) 100 000 dolarów, aby milczał o naruszeniu ochrony danych

Olga Papiernik
11.12.2017 12:09
Uber wypłacił 20-letniemu mężczyźnie z Florydy (USA) 100 000 dolarów, aby  milczał o naruszeniu ochrony danych
fot. East News

20-letni człowiek z Florydy był odpowiedzialny za duże naruszenie danych w Uber Technologies Inc w ubiegłym roku i został opłacony przez Ubera, aby zniszczyć dane za pomocą tak zwanego programu "bug bounty" używanego zwykle do identyfikacji małych luk w kodzie, powiedziały w rozmowie z agencją Reuters trzy osoby znające sytuację w firmie.

Uber ogłosił 21 listopada, że dane osobowe 57 milionów użytkowników, w tym 600 000 kierowców w Stanach Zjednoczonych, zostały skradzione w wyniku naruszenia, które miało miejsce w październiku 2016 r., i że zapłacił on hakerowi 100 000 USD za zniszczenie informacji. Ale firma nie ujawniła żadnych informacji na temat hakera ani tego, jak zapłacił mu pieniądze.

Uber dokonał płatności w ubiegłym roku poprzez program mający na celu nagrodzenie badaczy bezpieczeństwa, którzy zgłaszają usterki w oprogramowaniu firmy, powiedzieli ci ludzie. Uber's bug bounty service - taki program jest znany w branży - jest hostowany przez firmę o nazwie HackerOne, która oferuje swoją platformę wielu firmom technologicznym.

Reuters nie był w stanie ustalić tożsamości hakera. Rzecznik Ubera Matt Kallman odmówił komentarza w tej sprawie.

Nowo mianowany szef Uber, Dara Khosrowshahi, zwolnił dwóch najwyższych urzędników bezpieczeństwa Ubera, kiedy ogłosił naruszenie w zeszłym miesiącu, mówiąc, że incydent miał zostać ujawniony organom regulacyjnym w chwili jego odkrycia, około rok wcześniej.

Pozostaje niejasne, kto podjął ostateczną decyzję o zatwierdzeniu płatności dla hakera i utrzymaniu tego naruszenia w tajemnicy, chociaż źródła podały wówczas informację, że - dyrektor generalny Travis Kalanick zdawał sobie sprawę z tego, że w listopadzie ubiegłego roku doszło do naruszenia i płatności hakerowi.
Kalanick, który w czerwcu ustąpił z funkcji prezesa Uber, odmówił komentarza w tej sprawie, powiedział rzecznik prasowy.

Zapłata 100 000 USD w ramach programu nagród za znalezienie luk w oprogramowaniu byłaby niezwykła, a jeden były szef HackerOne powiedział, że będzie to rekord wszechczasów. Specjaliści od bezpieczeństwa twierdzili, że nagradzanie hakera, który ukradł dane, również wykracza poza normalne zasady program nagród, w którym płatności zazwyczaj mieszczą się w przedziale od 5000 do 10 000 USD.
HackerOne obsługuje program błędów Ubera, ale nim nie zarządza i nie odgrywa żadnej roli w podejmowaniu decyzji tj. czy wypłaty są odpowiednie, ani jak duże powinny być.

Według dwóch źródeł, Uber dokonał płatności, aby potwierdzić tożsamość hakera i kazał mu podpisać umowę poufności, aby powstrzymać dalsze wykroczenia. Uber przeprowadził również analizę sądową maszyny hakera, aby upewnić się, że dane zostały wyczyszczone, podały źródła.

Pewne źródło określiło hakera jako - mieszkającego z mamą w małym domu, próbującego pomóc w opłaceniu rachunków, dodając, że członkowie zespołu bezpieczeństwa Uber nie chcieli ścigać osoby, która nie stwarzała kolejnego zagrożenia.

Haker z Florydy zapłacił drugiej osobie za usługi, które wymagały dostępu do GitHub, strony powszechnie używanej przez programistów do przechowywania ich kodu, aby uzyskać dane uwierzytelniające dostęp do danych Ubera przechowywanych w innym miejscu, powiedziało jedno ze źródeł.
GitHub powiedział, że atak nie wiązał się z awarią jego systemów bezpieczeństwa.

Uber otrzymał w zeszłym roku e-mail od anonimowej osoby żądającej pieniędzy w zamian za dane użytkownika, ta wiadomość została przekazana zespołowi ds. błędów w firmie, co opisano jako rutynową praktykę Ubera w razie takich nagabywań, podały trzy źródła znające tę sprawę.

Programy nagród pieniężnych mają na celu, głównie, zachęcać badaczy ds. bezpieczeństwa aby zgłaszali słabości, które odkrywają w oprogramowaniu firmy. Ale mogą pojawić się bardziej skomplikowane scenariusze, gdy mamy do czynienia z hakerami, którzy nielegalnie pozyskują informacje i oczekują zapłaty okupu.

Niektóre firmy decydują, że nie będą zgłaszać bardziej agresywnych włamań, uzasadniając to tym, że łatwiej i bardziej efektywnie jest negocjować bezpośrednio z hakerami, aby ograniczyć szkody dla klientów.

Uber, nie zgłaszając naruszenia organom regulacyjnym, nawet jeśli uznał, że poradził sobie z problemem, popełnił błąd, jak twierdzą ludzie z zewnątrz, i z wewnątrz firmy, którzy rozmawiali z Reuters.

Fala zwolnień 

Uber zwolnił swojego głównego szefa ochrony, Joe Sullivana i zastępcę, adwokata Craiga Clarka, z powodu roli jaką pełnili w incydencie.

W ubiegłym tygodniu zrezygnowano z trzech kolejnych szefów działów bezpieczeństwa Ubera. Jeden z nich, szef ochrony fizycznej Jeff Jones, powiedział później, że i tak by odszedł, poinformowały źródła Reuters. Inny z trzech, starszy inżynier bezpieczeństwa, Prithvi Rai, później zgodził się zostać na pełnienie innej roli w firmie.

Chcesz być na bieżąco? Śledź Radio ZET - Biznes na Facebooku

Joseph Menn, Dustin Volz/Reuters/Huffingtonpost/OP