國際時事

Uber資料遭駭　竟支付10萬美元給駭客私了

吳栢妤 2017年12月07日 22:01:00

Uber疑似透過漏洞懸賞計畫，支付10萬美元給20歲的駭客。（湯森路透）

《路透》（Reuters）7日報導，3名知情人士向報社透露，「優步」（Uber）在2016年透過漏洞懸賞計畫（Bug Bounty Program），支付10萬美元（約新台幣302萬元）給一名住在佛羅里達州的20歲駭客，以銷毀遭竊取的顧客資料。

EXCLUSIVE: @Uber paid 20 year-old Florida man to keep data breach secret via its 'bug bounty' program https://t.co/JSDvR3kLO1 by @josephmenn @dnvolz $UBER #CyberSecurity pic.twitter.com/ZMALdM1iv2
— Reuters Top News (@Reuters) 2017年12月7日

Uber與駭客簽訂保密協議

Uber在11月21日承認，該公司在2016年10月遭駭客竊取約5700萬筆乘客及駕駛資料，並支付給駭客10萬美元的贖金以銷毀資料並隱匿此事。不過當時Uber並沒有透露該名駭客的身份，以及公司支付贖金的方式。

2名知情人士向《路透》指出，Uber已付款確認該名駭客的身份，並與對方簽訂保密協議，阻止其進一步不法行為。而Uber也已針對駭客使用的工具及技術進行取證分析（forensics analysis），確認對方已將資料完全清除。

消息來源表示，因該名駭客並不構成進一步的威脅，Uber資安團隊才沒有採取法律行動。

對此，Uber發言人卡爾曼（Matt Kallman）拒絕回應，而《路透》目前也無法明確掌握這明駭客的身份。

漏洞懸賞

這幾年許多網路科技公司為了能更快發現並修復旗下軟體的資安漏洞，紛紛建立「漏洞懸賞」機制，提供獎金給透過合法手段找出漏洞的駭客。

包括Facebook、Twitter、Google以及Apple等公司皆有推動相關計畫，以保障客戶資料安全。

據報導，Uber在2016年推動漏洞懸賞計畫，與業界知名的漏洞眾測平台HackerOne合作。不過HackerOne只負責提供交流平台，並不介入管理業務，也無法干涉Uber要提供多少獎金給發現漏洞者。

Doing #bugbounty well requires lots of planning and preparation. KPMG"s Caleb Queern shares some advice in a recent podcast - here's our recap https://t.co/5ssQ6wpJj4 pic.twitter.com/bGZVQUY0RG
— HackerOne (@Hacker0x01) 2017年12月6日

前HackerOne高層：這非常不尋常

前HackerOne首席政策官穆蘇里斯（Katie Moussouris）向《路透》表示，Uber透過漏洞懸賞計畫支付高達10萬美元的贖金，並隱匿此事是「非常不尋常的」。

他指出，一般的獎勵金額通常落在5千至1萬美元（約新台幣15萬1千至30.2萬元）之間。此外，透過懸賞機制提供非法竊取資料的駭客獎勵金，也不符合常理。

「如果這是一個合法的漏洞懸賞，那所有參與人員都應該大方的讓外界知道此事。」穆蘇里斯說。

目前仍無法確定是誰批准向駭客支付該筆款項，並刻意隱匿消息。不過消息來源向《路透》表示，時任執行長的卡拉尼克（Travis Kalanick）在事件發生後一個月就得知資料遭竊，也清楚交付贖金的方式。

而公司內部及外部人士都指出，不論問題解決與否，Uber沒有及時向監管機構呈報資料遭竊一事，就是嚴重的錯誤。

疑從GitHub取得Uber資料庫入口憑證

據《路透》，一名消息來源指出，這名20歲的駭客聘用另一名人士，替他從程式碼管理平台GitHub上取得Uber資料庫入口憑證。

He reportedly paid a second person for services that involved accessing @github to obtain credentials for access to @Uber data stored elsewhere https://t.co/p12HZ7j7az
— ET RISE (@ET_RISE) 2017年12月7日

對此GitHub官方回應，此次的資料竊取事件，並不是其安全系統問題所導致。

「我們的建議是，不要將密碼、存取權杖或者其它身份驗證及加密金鑰儲存在程式碼中。」GitHub在其聲明中寫道。

Uber 駭客 GitHub 漏洞賞金計畫

熱門新聞

（測試）【完整菜單】延長至五月底！添好運港式飲茶 100 分鐘點心吃到飽只要 699 元

（測試）【完整菜單】延長至五月底！添好運港式飲茶 100 分鐘點心吃到飽只要 699 元

美日俄三巨頭如何瓜分世界是我們該擔憂的事

廖偉棠專欄：《巴布·狄倫：搖滾詩人》──挑釁的傳主，不挑釁的傳記片

台日菲防禦監控情資共享之必要與迫切

為什麼川普不可能變獨裁

國防部修訂「志願士兵甄選條件」的省思

這樣的信徒不是在敬奉神明

【大師講堂】抗中或成川普和莫迪「兄弟情」的催化劑

從台灣到美國　政治文化才是民主良窳的關鍵

「藍白敵人論」無法讓罷免運動成功

Uber資料遭駭　竟支付10萬美元給駭客私了

熱門關鍵字

回首頁

大S猝逝

最新

調查

評論

國際

焦點

軍事

流行

生活

遊戲

影音

專題

大師講堂

Uber資料遭駭 竟支付10萬美元給駭客私了

熱門關鍵字

Uber資料遭駭　竟支付10萬美元給駭客私了