Uber е платила на 20-годишен жител на Флорида за хакерската атака

20-годишен мъж от Флорида е бил отговорен за големия пробив на данни в Uber Technologies Inc през миналата година. Именно на него Uber е платила откуп, за да унищожи данните чрез така наречената програма Bounty Bounty, която обикновено се използва за установяване на дребни уязвимости на кодовете, предава Ройтерс, като се позовава на трима запознати източници. 

Uber съобщи на 21 ноември, че личните данни на 57 млн. потребители, включително на 600 хил. шофьори в САЩ, са били откраднати в рамките на хакерска атака, осъществена през октомври 2016 г., и че е платила на хакера 100 хил. долара, за да унищожи информацията. Компанията не разкрива никаква информация за хакера или как е платила парите.

Стартъпът е извършил плащането през миналата година чрез програма, предназначена да възнагради изследователите в областта на сигурността, които съобщават за недостатъци в софтуера на компанията, казват източниците. Услугата за бъгове на Uber (тя е позната в индустрията) се хоства от компания, наречена HackerOne, която предлага своята платформа на редица технологични компании.

Информационната агенция не е успяла да установи самоличността на хакера или друго лице, което според източници му е помогнало. Говорителят на Uber Мат Калман отказва да коментира темата. 

Новоназначеният главен изпълнителен директор на Uber Дара Косровшахи уволни двама от висшите служители на фирмата, когато съобщи за атаката през миналия месец. Той заяви, че инцидентът е трябвало да бъде докладван на регулаторите в момента, в който е бил открит - около година по-рано.

Остава неясно кой е взел окончателното решение да упълномощи плащането към хакера и да задържи нарушението в тайна, въпреки че източници твърдят, че тогавашният главен изпълнителен директор Травис Каланик е бил наясно с атаката и с плащането на сериозна сума за бъгове през ноември миналата година.

Каланик, който се оттегли като изпълнителен директор на Uber през юни, отказа да коментира темата.

Плащането от 100 хил. долара чрез програма за откриване на бъгове би било изключително необичайно, а бивш изпълнителен директор на HackerOne заяви, че това би представлявало "рекордна за всички времена сума". Професионалистите по сигурността смятат, че възнаграждаването на хакера, който е откраднал данните, също би било извън обичайните правила на такива програми,  където плащанията обикновено са в диапазона от 5 хил. до 10 хил. долара.

HackerOne само хоства програмата за откриване на бъгове на Uber, но не я управлява и не играе роля при вземането на решение дали дадени плащания са подходящи, или колко големи да бъдат те.

Според двама от източниците Uber е осъществила плащането, за да потвърди самоличността на хакера и да го накара да подпише споразумение за неразкриване на информация, за да се спрат допълнителни нарушения. Компанията също е направила съдебномедицински анализ на компютъра на хакера, за да се увери, че данните са били изтрити напълно, казват източници на Ройтерс.

Единият източник описва хакера като „живеещ с майка си в малък дом мъж, който се опитва да си плати сметките", добавяйки, че членовете на екипа по сигурността на компанията не са искали да възбудят наказателно преследване на лице, което не изглежда да представлява друга заплаха.

Хакерът е платил на второ лице за услуги, включващи достъп до GitHub - сайт, широко използван от програмистите за съхранение на кодове, за да получи достъп до данни на Uber, съхранени на трето място, казва един от източниците.

GitHub пояснява, че атаката не включва провал на системите ѝ за сигурност. "Нашата препоръка е никога да не съхранявате кодове за достъп, пароли или други ключове за идентификация или шифроване в кода", посочва компанията в изявление.

През миналата седмица още трима висши мениджъри в отдела за сигурност на Uber подадоха заявления за напускане. Единият от тях - началникът по физическата сигурност Джеф Джоунс, по-късно е казал пред служители, че е щял да напусне така или иначе.  Друг от тримата - старши инженерът по сигурността Притхви Раи, по-късно се е съгласил да остане в компанията на нова позиция.