《路透》(Reuters)7日報導,3名知情人士向報社透露,「優步」(Uber)在2016年透過「漏洞懸賞(Bug Bounty )」計劃,支付10萬美元(約新台幣301萬元)給一名住在佛羅里達州的20歲駭客,以銷毀遭竊取的顧客資料。 EXCLUSIVE: @Uber paid 20 year-old Florida man to keep data breach secret via its 'bug bounty' program https://t.co/JSDvR3kLO1 by @josephmenn @dnvolz $UBER #CyberSecurity pic.twitter.com/ZMALdM1iv2 — Reuters Top News (@Reuters) 2017年12月7日 Uber 與駭客簽訂保密協議 Uber在11月21日承認,該公司在2016年10月遭駭客竊取約5700萬筆乘客及駕駛資料,並支付給駭客10萬美元的贖金以銷毀資料並隱匿此事。不過當時Uber並沒有透露該名駭客的身份,以及公司支付贖金的方式。 據其中2名消息人士透露,Uber已經付款確認了駭客的身份,並與對方簽訂保密協議,阻止其進一步不法行為。而Uber也已針對駭客使用的工具及繼續進行取證分析(forensics analysis),確認對方已將資料完全清除。 消息來源指出,因該名駭客並不構成進一步的威脅,Uber資安團隊才沒有採取法律行動。 Uber發言人卡爾曼(Matt Kallman)拒絕對此事做出回應,而《路透》目前也無法明確掌握這明駭客的身份。 漏洞懸賞 這幾年許多網路科技公司為了能更快發現並修復旗下軟體的安全漏洞,紛紛推動「漏洞懸賞」機制,提供獎金給透過合法手段找出安全漏洞的駭客。 包括Facebook、Twitter、Google以及Apple等公司皆有推動相關計劃,以保障客戶資料安全。 據報導,Uber在2016年推動漏洞懸賞計劃,並與業界知名的漏洞眾測平台「HackerOne」合作。不過HackerOne只負責提供交流的平台,並不介入管理業務,也無法干涉Uber要提供多少金額給發現漏洞者。 Doing #bugbounty well requires lots of planning and preparation. KPMG"s Caleb Queern shares some advice in a recent podcast - here's our recap https://t.co/5ssQ6wpJj4 pic.twitter.com/bGZVQUY0RG — HackerOne (@Hacker0x01) 2017年12月6日 前HackerOne高層:這非常不尋常 前HackerOne首席政策官穆蘇里斯(Katie Moussouris)向《路透》表示,Uber透過漏洞懸賞計劃支付高達10萬美元的贖金,並隱匿此事是非常不尋常的。 他指出,正常的獎勵金額通常落在5千至1萬美元(約新台幣14萬8千至29.6萬元)之間;透過懸賞機制提供非法竊取資料的駭客獎勵金,也不符合常理。 「如果這是一個合法的漏洞懸賞,那所有參與人員都應該大方的讓外界知道此事。」穆蘇里斯說。 目前仍無法確定是誰批准向駭客支付該筆款項,並刻意隱匿此消息。不過消息來源向《路透》表示,時任執行長的卡拉尼克(Travis Kalanick)在事件發生後一個月就得知資料遭竊,也清楚交付贖金的方式。 而公司內部及外部人士都指出,不論問題解決與否,Uber沒有及時向監管機構呈報資料遭竊一事,就是嚴重的錯誤。 疑從 GitHub 取得 Uber 資料庫入口憑證 據《路透》,一名消息來源指出,這名20歲的駭客聘用另一名人士,替他從程式碼管理平台GitHub上取得Uber資料庫入口憑證。 He reportedly paid a second person for services that involved accessing @github to obtain credentials for access to @Uber data stored elsewhere https://t.co/p12HZ7j7az — ET RISE (@ET_RISE) 2017年12月7日 對此GitHub官方回應,此次的資料竊取事件,並不是其安全系統問題所導致。 「我們的建議是,不要將密碼、存取權杖或者其它身份驗證及加密金鑰儲存在程式碼中。」GitHub在其聲明中寫道。 隱匿用戶資料遭竊 多國追查Uber違法情事 【影片】5700萬用戶資料遭竊 Uber付駭客「贖金」了事 《大家論壇》中亞視角:哈薩克在歐亞重組時 很難走出自己的路 【影片】無重力狀態做料理! 太空人特製「漂浮披薩」
《路透》(Reuters)7日報導,3名知情人士向報社透露,「優步」(Uber)在2016年透過「漏洞懸賞(Bug Bounty )」計劃,支付10萬美元(約新台幣301萬元)給一名住在佛羅里達州的20歲駭客,以銷毀遭竊取的顧客資料。 EXCLUSIVE: @Uber paid 20 year-old Florida man to keep data breach secret via its 'bug bounty' program https://t.co/JSDvR3kLO1 by @josephmenn @dnvolz $UBER #CyberSecurity pic.twitter.com/ZMALdM1iv2 — Reuters Top News (@Reuters) 2017年12月7日 Uber 與駭客簽訂保密協議 Uber在11月21日承認,該公司在2016年10月遭駭客竊取約5700萬筆乘客及駕駛資料,並支付給駭客10萬美元的贖金以銷毀資料並隱匿此事。不過當時Uber並沒有透露該名駭客的身份,以及公司支付贖金的方式。 據其中2名消息人士透露,Uber已經付款確認了駭客的身份,並與對方簽訂保密協議,阻止其進一步不法行為。而Uber也已針對駭客使用的工具及繼續進行取證分析(forensics analysis),確認對方已將資料完全清除。 消息來源指出,因該名駭客並不構成進一步的威脅,Uber資安團隊才沒有採取法律行動。 Uber發言人卡爾曼(Matt Kallman)拒絕對此事做出回應,而《路透》目前也無法明確掌握這明駭客的身份。 漏洞懸賞 這幾年許多網路科技公司為了能更快發現並修復旗下軟體的安全漏洞,紛紛推動「漏洞懸賞」機制,提供獎金給透過合法手段找出安全漏洞的駭客。 包括Facebook、Twitter、Google以及Apple等公司皆有推動相關計劃,以保障客戶資料安全。 據報導,Uber在2016年推動漏洞懸賞計劃,並與業界知名的漏洞眾測平台「HackerOne」合作。不過HackerOne只負責提供交流的平台,並不介入管理業務,也無法干涉Uber要提供多少金額給發現漏洞者。 Doing #bugbounty well requires lots of planning and preparation. KPMG"s Caleb Queern shares some advice in a recent podcast - here's our recap https://t.co/5ssQ6wpJj4 pic.twitter.com/bGZVQUY0RG — HackerOne (@Hacker0x01) 2017年12月6日 前HackerOne高層:這非常不尋常 前HackerOne首席政策官穆蘇里斯(Katie Moussouris)向《路透》表示,Uber透過漏洞懸賞計劃支付高達10萬美元的贖金,並隱匿此事是非常不尋常的。 他指出,正常的獎勵金額通常落在5千至1萬美元(約新台幣14萬8千至29.6萬元)之間;透過懸賞機制提供非法竊取資料的駭客獎勵金,也不符合常理。 「如果這是一個合法的漏洞懸賞,那所有參與人員都應該大方的讓外界知道此事。」穆蘇里斯說。 目前仍無法確定是誰批准向駭客支付該筆款項,並刻意隱匿此消息。不過消息來源向《路透》表示,時任執行長的卡拉尼克(Travis Kalanick)在事件發生後一個月就得知資料遭竊,也清楚交付贖金的方式。 而公司內部及外部人士都指出,不論問題解決與否,Uber沒有及時向監管機構呈報資料遭竊一事,就是嚴重的錯誤。 疑從 GitHub 取得 Uber 資料庫入口憑證 據《路透》,一名消息來源指出,這名20歲的駭客聘用另一名人士,替他從程式碼管理平台GitHub上取得Uber資料庫入口憑證。 He reportedly paid a second person for services that involved accessing @github to obtain credentials for access to @Uber data stored elsewhere https://t.co/p12HZ7j7az — ET RISE (@ET_RISE) 2017年12月7日 對此GitHub官方回應,此次的資料竊取事件,並不是其安全系統問題所導致。 「我們的建議是,不要將密碼、存取權杖或者其它身份驗證及加密金鑰儲存在程式碼中。」GitHub在其聲明中寫道。 隱匿用戶資料遭竊 多國追查Uber違法情事 【影片】5700萬用戶資料遭竊 Uber付駭客「贖金」了事 《大家論壇》中亞視角:哈薩克在歐亞重組時 很難走出自己的路 【影片】無重力狀態做料理! 太空人特製「漂浮披薩」