由美国一个20岁男子被砍塞的优步
负责2016年10月10日的HACKER违反了优步系统的数据违约,影响了5700万用户账户,包括估计在英国的270万次,仅被确定为基于美国佛罗里达州的20岁男子。
黑客的名称是“不可用”从披露其他信息的“靠近事件的三个来源”,报告快递。
它还出现了通过Uber的Bug Bounty Service通过由Hackerone托管的Uber的Bug Bounty Service来返回删除数据的100,000美元,由Hackerone托管,根据前任主管代表该服务的记录付款。
Bug Bounty Service旨在鼓励安全研究人员报告任何可能被Huber开采的缺陷,通常支付5,000美元至10,000美元的信息,使优步能够硬化其网络防御。
根据Hard Mickos的说法,Hackerone的首席执行官,在所有情况下,通过Hackerone处理Bug Bounty奖励,该公司在支付奖励之前将收到IRS W-9或W-8Ben形式的形式识别收件人的信息可以制作。
两个来源告诉路透社,优步使用黑客通信证实了20岁的身份,并被要求签署一项非披露协议。优步也被认为对黑客电脑进行了法医分析,以确保公司的所有数据都已擦除。
包括姓名,电子邮件地址和移动电话号码的数据 - 但不是旅行位置历史,信用卡和银行帐号以及出生日期,从亚马逊Web服务(AWS)存储中下载,使用优步登录凭据被盗用于开发人员的Web的Web的基于Web的私有区域。
据报道,这位20岁的男子向参与访问GitHub的第二个人支付了第二个人。当黑客接近优步要求钱以换取他所访问的数据时,目前尚不清楚为什么他被定向为优步的错误赏金计划,为什么当局立即没有被盗,而Uber谁决定最终确定付款。
然而,Uber的首席执行官当时Travis Kalanick据信违反了违约。
Kate Mousouris是一位前Hackerone行政,Luta安全创始人和Bug Bounty Advocate表示,如果付款是一个合法的Bug赏金,那么这将是从屋顶喊叫它的每个人都是理想的。
“创建一个Bug赏金计划不允许优化的服务提供商 - 或者任何其他公司决定违反通知法不适用于他们的能力,”她说。
当2017年11月出现的违规消息时,新任命的优步首席执行官Dara Khosrowshai发布了一份声明,称他并不知道2016年的事件,直到“最近”。
“这不应该发生,我不会为它找借口。虽然我无法抹去过去,但我可以代表我们将从错误中学习的每个优步员工,“他说。
然而,Khosrowshahi强调,该事件没有违反优步的企业系统或基础设施。
当优步透露估计的270万英国司机和客户账户受到影响时,信息专员办公室(ICO)表示,其自身的公开信息不太可能构成直接威胁。
然而,副委员詹姆斯迪普斯·约翰斯通表示,它的使用可能会使其他骗局,例如虚假电子邮件或呼叫,看起来更可信。
“人们应该继续保持警惕,并遵循来自目前的网络安全中心[NCSC]的建议。作为我们调查的一部分,我们还在等待技术报告,该报告应该完全确认PS和已受到损害的个人数据类型,“他补充说。
迪普斯·约翰斯通表示,ICO预计优步开始通知那些受影响的人尽快,并重申,NCSC与其他英国有关当局一起继续努力确保英国公民的数据受到保护。
英国政府在一份声明中表示,新的数据保护条例草案将授予ICO进一步捍卫消费者利益的权力,并在特殊情况下发出高达1800万英镑的额外罚款,占组织全球营业额的4%。