В скандале вокруг масштабной утечки данных онлайн-сервиса вызова такси Uber появились новые подробности. Агентству "Рейтер" удалось узнать, кто стоит за хакерской атакой, из-за которой в октябре 2016 года в чужие руки попали персональные данные 50 миллионов клиентов и семи миллионов водителей Uber.
Журналисты выяснили, что в ноябре 2016 года компания перечислила 100 тысяч долларов США некоему 20-летнему жителю Флориды, оформив платеж, как поощрительную премию за выявление уязвимостей в рамках программы "Bug Bounty". На самом же деле это был выкуп за уничтожение похищенных у Uber данных и молчание, сообщает агентство со ссылкой на информаторов.
Имя хакера остается неизвестным, но один из источников описал его, как не слишком обеспеченного молодого человека, живущего со своей матерью во Флориде в небольшом доме. Юноше помогал еще один человек, но сведениями о его личности "Рейтер" не располагает. Пресс-секретарь Uber отказался от комментариев по данному поводу.
Программа поощрения за найденные уязвимости в Uber размещена на платформе HackerOne, которая специализируется на программах "Bug Bounty". Представители последней заявляют, что не контролируют выплаты и не принимают решений относительно размера премий.
Один из бывших сотрудников HackerOne в интервью "Рейтер" отметил, что 100 тысяч долларов – очень большая сумма для подобных вознаграждений и даже назвал её абсолютным рекордом. Обычно денежное поощрение за найденные уязвимости варьируется в диапазоне от 5 до 10 тысяч долларов. Представители ИБ-сообщества подчеркивают, что премировать хакера, укравшего данные, выходит за рамки правил.
Кто из руководства Uber принимал решение о перечислении 100 тысяч долларов и сокрытии взлома, пока остается неясным. Огласку инцидент получил только в ноябре 2017 года.
Глава Uber Дара Хосровшахи (Dara Khosrowshahi), занявший пост в сентябре 2017-го, принес извинения за случившееся и уволил двух топ-менеджеров, замешанных в скандале - руководителя службы безопасности Джо Салливана (Joe Sullivan) и его заместителя Крейга Кларка (Craig Clark). По данным "Рейтер", бывшему гендиректору Uber Трэвису Каланику (Travis Kalanick), отправленному в отставку в июне 2017 года, было известно о хищении данных и о перечислении выкупа хакеру.
Источники отмечают, что Uber произвела платеж через платформу HackerOne. Чтобы выяснить личность хакера и обезопасить себя с молодым человеком было заключено соглашение о неразглашении информации.
В HackerOne пояснили, что во всех случаях, когда премии Bug Bounty проходят через их платформу, до перевода средств получатель должен предоставить идентификационную информацию о себе по форме IRS W-9 или W-8BEN. Такой порядок предусмотрен американским налоговым законодательством.
Кроме того, Uber провела криминалистический анализ компьютера хакера, чтобы удостоверится, что данные действительно стерты. По словам одного из собеседников агентства, одел безопасности Uber решил не добиваться уголовного преследования, убедившись, что хакер больше не представляет для них угрозы.