В скандале вокруг масштабной утечки данных онлайн-сервиса вызова такси Uber появились новые подробности. Агентству "Рейтер" удалось узнать, кто стоит за хакерской атакой, из-за которой в октябре 2016 года в чужие руки попали персональные данные 50 миллионов клиентов и семи миллионов водителей Uber.

Журналисты выяснили, что в ноябре 2016 года компания перечислила 100 тысяч долларов США некоему 20-летнему жителю Флориды, оформив платеж, как поощрительную премию за выявление уязвимостей в рамках программы "Bug Bounty". На самом же деле это был выкуп за уничтожение похищенных у Uber данных и молчание, сообщает агентство со ссылкой на информаторов.

Имя хакера остается неизвестным, но один из источников описал его, как не слишком обеспеченного молодого человека, живущего со своей матерью во Флориде в небольшом доме. Юноше помогал еще один человек, но сведениями о его личности "Рейтер" не располагает. Пресс-секретарь Uber отказался от комментариев по данному поводу.

Программа поощрения за найденные уязвимости в Uber размещена на платформе HackerOne, которая специализируется на программах "Bug Bounty". Представители последней заявляют, что не контролируют выплаты и не принимают решений относительно размера премий.

Один из бывших сотрудников HackerOne в интервью "Рейтер" отметил, что 100 тысяч долларов – очень большая сумма для подобных вознаграждений и даже назвал её абсолютным рекордом. Обычно денежное поощрение за найденные уязвимости варьируется в диапазоне от 5 до 10 тысяч долларов. Представители ИБ-сообщества подчеркивают, что премировать хакера, укравшего данные, выходит за рамки правил.

Кто из руководства Uber принимал решение о перечислении 100 тысяч долларов и сокрытии взлома, пока остается неясным. Огласку инцидент получил только в ноябре 2017 года.

Глава Uber Дара Хосровшахи (Dara Khosrowshahi), занявший пост в сентябре 2017-го, принес извинения за случившееся и уволил двух топ-менеджеров, замешанных в скандале - руководителя службы безопасности Джо Салливана (Joe Sullivan) и его заместителя Крейга Кларка (Craig Clark). По данным "Рейтер", бывшему гендиректору Uber Трэвису Каланику (Travis Kalanick), отправленному в отставку в июне 2017 года, было известно о хищении данных и о перечислении выкупа хакеру.

Источники отмечают, что Uber произвела платеж через платформу HackerOne. Чтобы выяснить личность хакера и обезопасить себя с молодым человеком было заключено соглашение о неразглашении информации.

В HackerOne пояснили, что во всех случаях, когда премии Bug Bounty проходят через их платформу, до перевода средств получатель должен предоставить идентификационную информацию о себе по форме IRS W-9 или W-8BEN. Такой порядок предусмотрен американским налоговым законодательством.

Кроме того, Uber провела криминалистический анализ компьютера хакера, чтобы удостоверится, что данные действительно стерты. По словам одного из собеседников агентства, одел безопасности Uber решил не добиваться уголовного преследования, убедившись, что хакер больше не представляет для них угрозы.

8 декабря, 2017

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

14.07.2025
19% предприятий запустило системную автоматизацию после 2022 года
14.07.2025
Только 6% осужденных по ИКТ-статьям получает реальный срок
14.07.2025
LLM-система МТС экономит «десятки миллионов рублей»
14.07.2025
Решения Servicepipe позволят Innostage комплексно защитить клиентов от DDoS, ботов и других автоматизированных L3-L7 атак
14.07.2025
PT: ИБ-игроки должны научиться дополнять друг друга
14.07.2025
SSD от TeamGroup противостоит взлому… с помощью огня
14.07.2025
Hikvision решительно настроена бороться с канадским запретом
14.07.2025
Качество данных как фундамент бизнеса банка: на Fintech Data Day эксперты обсудили стратегии и вызовы работы с данными
14.07.2025
MFASOFT Secure Authentication Server совместим с системой sPACE PAM
14.07.2025
ИБ-платформа Security Vision вошла в реестр ГосСОПКА

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных