圖片來源: 

Uber

Uber 11月曾經坦承去年10月被駭遭竊資料5700 萬筆。當時有報導指出Uber安全長因支付駭客10萬美元換取銷毁資料,不過未說明如何被駭以及如何付贖金。路透社周四引述3名消息人士報導,該公司是以抓漏獎勵金方式支付這筆錢。

消息人士指出,Uber是在去年經由平台業者HackOne代管的抓漏大賽支付10萬贖獎金給駭客,這類比賽中,軟體公司藉由參賽者找出產品或網路、伺服器環境中的漏洞,以強化產品及基礎架構的安全性,並支付獎金作為代價。HackOne只提供平台,但一切規則都是由主辦單位Uber決定。一般抓漏單筆獎金約在數千美元,最多1萬美元,10萬獎金相當罕見,可以說是破紀錄的高。不過路透社並未能找到獲此獎金的參賽者身份。

根據報導,這名駭客是一名20歲住在美國佛羅里達州的男子,他在另一名人士協助下,取得Uber儲存於GitHub的用戶資料庫帳密後,得以竊走Uber資料。GitHub強調此事並非出於該平台安全系統被駭。駭客隨後向Uber發信匿名勒索,最後轉到舉辦抓漏比賽的小組。

目前不確定是誰下此決定,報導引述消息人士聲稱當時在位的執行長Travis Kalanick對此知情,但Kalanick拒絕評論。

消息人士指出,Uber希望透過比賽確認駭客的身份,而且在支付贖金後,要求該駭客簽下保密協定保證不再犯。同時Uber也對駭客電腦執行鑑識分析以確保資料完全清除。基於該名男子與母親同住一間小房子,生活條件並不優渥,因此Uber安全部門決定不追究其責任。

不過在11月底Uber公佈被駭並支付贖金消息曝光時,該公司資安長已經遭「被離職」處份。

抓漏的安全研究人員和駭客往往是一體兩面。無人機業者大疆科技(DJI)8月間也舉辦了抓蟲獎勵方案,但一名參賽者因為種種問題,最後被DJI反過來指為駭客而揚言控告他。


Advertisement

更多 iThome相關內容