Uber借漏洞奖励向20岁黑客付款 掩盖大规模数据泄露

Uber

发生大规模数据泄露事件的是一位20岁佛罗里达州男子。Uber以所谓的“漏洞奖励”项目名义向这位男子付款,以销毁数据。漏洞奖励项目一般被企业用于查找小型代码漏洞。

Uber在11月21日宣布,在去年10月发生的一起入侵事件中,5700万名乘客和60万名司机的个人数据被盗,公司向黑客支付了10万美元以销毁这些信息。然而,Uber并未披露这位黑客的任何信息,也没有说明它是如何向黑客付款的。

知情人士称,Uber通过漏洞奖励项目支付了这笔款项,该项目原本是为了奖励发现公司软件漏洞的安全研究人员。Uber的漏洞奖励服务由一家名为HackerOne的公司托管,后者将其平台提供给了许多科技公司。HackerOne托管Uber漏洞奖励项目,但无法管理它,不能确定支付的奖励是否合理,金额应该多大。

路透社无法确认这位黑客的身份,也无法确认另外一名帮助他实施入侵的人的身份。Uber发言人不予置评。

知情人士称,Uber通过支付这笔款项确认了黑客的身份,并让他签署了保密协议以阻止他再做违法事情。Uber还对黑客的机器实施了法医式检查,确保数据已被清理。

据悉,这位黑客“与他的母亲住在一所小房子内,实施入侵是为了交账单”。Uber安全团队成员并不想起诉他,因为他看起来不会造成更多威胁。

这位黑客向协助他访问GitHub的第二个人支付了一笔费用,目的是获取凭证访问存储在其它地方的Uber数据。GitHub是一个被程序员普遍用来存储代码的网站,该网站表示,这一攻击事件并未牵扯到它的安全系统漏洞问题。

Uber内部人士和外部人士均认为,即便Uber可能感觉已经解决了这一问题,但是没有向监管部门报告这一数据泄露事件是一个错误。

随后,Uber解雇了公司首席安全官乔·沙利文(Joe Sullivan)及其副手、律师克雷格·克拉克(Craig Clark)。沙利文和克拉克尚未置评。

本文来自企鹅号 - 黑白之道媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

《网络安全法》执法案例汇总

自《网络安全法》生效以来,与其相关的执法行为逐渐走向常态。本文收集了2017年6月1日至8月18日间各地落实《网络安全法》相关规定的执法案例,包括: 腾讯微信、...

3826
来自专栏CIT极客

极客周刊丨国产勒索病毒来袭,高校AI战胜律师团,DDoS事件刷历史记录...

2645
来自专栏玄魂工作室

安全快讯合集

5. 15岁少年声称攻破BitFi虚拟加密币硬件钱包 John McAfee否认其被攻破

422
来自专栏安恒信息

PHPCMS V9最新版高危漏洞预警 攻击者可直接植入脚本木马

近几日,国内知名网站内容管理系统Phpcms频频爆出高危漏洞,虽然Phpcms官方11月27日发布了紧急更新补丁,修补了之前出现的多个" 高危"漏洞。但安恒信息...

2517
来自专栏安恒信息

网络安全顾问:未来人们使用的互联网将很不安全

美国白宫前网络安全顾问杰伊-希利(Jay Healey)断言,互联网正在变成一个越来越危险的地方,而这可能只是开始。   通过隐秘的间谍活动和尖端...

2583
来自专栏逸鹏说道

反击黑客勒索!这家网站帮你免费解密被黑文件

网站:https://www.nomoreransom.org ?   相信很多人都经历过被恶意病毒软件勒索的经历,尤其是臭名昭著的 Crypt 系列,对你电脑...

3168
来自专栏云加新鲜事儿

BGP高防IP专业版产品介绍

资源整合,为单用户提供1.7T超大防护能力(未来可至3T以上、拥有业界最大BGP防护带宽资源)

1432
来自专栏企鹅号快讯

黑客黑产攻防:1秒定生死的幽灵战

黑客黑产攻防:1秒定生死的幽灵战; 你在前端秒杀,他们在后台博弈; 犯案模式更简单粗暴,随着国内互联网金融、人工智能和大数据等产业继续深化发展,互联网为实体产业...

1907
来自专栏安恒信息

索尼影视娱乐公司被黑客窃去47000条社保号码和名人数据

据报道,在最近一次大规模网络攻击中,索尼影视娱乐公司被黑客窃取和泄露了大量重要文件,其中包括47000名现任和前任雇员的社保号码,而史泰龙等明星也自然未能幸免。...

2545
来自专栏菜鸟程序员

网安专家变黑客 边防护边敲诈

1913

扫码关注云+社区