<h4 style="display:none;" Uber-blackmail —

Uber используется ошибка программы Баунти отмыть шантажировать платеж хакера

Флорида человек получил $ 100000 через программу с максимальной заявили выплаты $ 10k.

В ноябре, генеральный директор Uber показал что компания заплатил хакер $ 100000 удалить данные, полученные с 2016 года нарушения, в которых подвергались 57000000 Uber клиентов и водителей имена, адреса электронной почты и номера телефонов. Но компания не выявила, кто хакер или как был произведен платеж.

A отчет Reuters Теперь проливает немного больше света на то, как компания скрывала ее шантаж платежно-деньги были выплачены на пока еще неустановленную Флориде человек через Программа Баунти ошибка Uber в, В настоящее время руководит HackerOne. Как Uber чиновники подтвердили удаление данных выявлены не были, и ряд американских сенаторов попросили провести расследование нарушения, ссылаясь вопросы о том, почему Uber не удалось связаться правоохранительных органов,

Uber’s CEO, Dara Khosrowshahi, said in a blog post about the breach that “two individuals outside the company had inappropriately accessed user data stored on a third-party cloud-based service that we use,” and that no payment data was exposed. But the driver’s license data for about 600,000 Uber drivers was stolen, as was contact data for 57 million customers and drivers. “At the time of the incident,” Khosrowshahi said, “we took immediate steps to secure the data and shut down further unauthorized access by the individuals. We subsequently identified the individuals and obtained assurances that the downloaded data had been destroyed. We also implemented security measures to restrict access to and strengthen controls on our cloud-based storage accounts.”

Khosrowshahi сказал, что он только недавно узнал о нарушении и приказал провести внутреннее расследование. Два неопознанных членов команды безопасности на Uber, занимавшиеся с нарушением были уволены.

Все время записи

HackerOne’s public statistics on the Uber bounty program show that Uber has paid out $1,289,595 in bounties over the life of the program so far, including one for the $10,000 maximum specified by Uber to a UK-based researcher for critical bugs. But there are no public payment details for HackerOne profiles that amount to the $100,000 Uber reports to have paid for the data destruction or any string of bounties to a single person that add up to that amount, so it’s clear the payment wasn’t made through the public HackerOne program. A former HackerOne official told Reuters’ Joseph Menn and Dustin Volz that such a payment would amount to an “all-time record” payment through a bug bounty program.

Кейси Эллис, основатель и технический директор Бугского управления Баунти компании BugCrowd, выразил озабоченность по поводу того, как компания может выдать платеж шантаж как программы ошибка щедрости, не поднимая заботы или тревоги. «С этической точки зрения,» Эллис сказали, «это развитие создает путаницу и потенциально повреждает рост исследователя / поставщик отношений, несмотря на то, что это было явно вымогательство выплаты, а не истинный Bug Bounty выплата.»

Представитель HackerOne сообщил Ars, что у компании не было никаких комментариев по этому вопросу. Uber также не комментирует историю Reuters. Но использование ошибка щедрот таким образом, не был бы первым из Uber-х этически сомнительной (а в некоторых случаях юридически сомнительных) технология махинации, в том числе создания фальшивых учетных записей пользователей на системе конкурента LYFT, чтобы помочь данным водителя и ценообразований шахтных в попытке определить, какие драйвера работали как Uber и LYFT.

en

WordPress

ПОДЕЛИТЬСЯ

Мы работаем над системой, чтобы улучшить качество сайта и наградить активных пользователей по проверке статьи, новости и качества, Благодарим Вас за улучшение Business Monkey News!

Если элемент неправильно, это неправильно переводил или отсутствует информация, вы можете изменить его, уведомит комментарий (мы исправим), или вы можете Посмотреть оригинал статьи здесь: (Статья на языке оригинала)

Изменения будут обновлены в течение 2 часов.

править История