新闻快讯
< >

花钱求删泄露数据,Uber称相信黑客守信可专家不信

11月24日消息,优步去年私下付给黑客10万美元,让他们删除盗取的5700万乘客和司机的个人数据,而且优步称确信黑客能够遵守承诺。但是专家称,并不能确定黑客们是否还留存了个人信息的副本。

花钱求删泄露数据,Uber称相信黑客守信可专家不信-E安全

在2016年10月发现漏洞之后,优步团队追踪到了黑客并且付费要求他们删除数据,这些数据中包含了全球5千万乘客和美国700万驾驶员的姓名、电话和邮箱等信息。其中有60万驾驶员的驾驶执照编码信息遭到泄漏。

优步一位发言人拒绝评论为何公司确信这些个人信息已经被黑客删除,但是据《纽约时报》的报道,作为协议的一部分内容,黑客同意签署保密协议。据专家称,与勒索软件背后的黑客讨价还价是非常常见的。但是据安全专家称,虽然存在一些无法回答的问题,但是优步与犯罪分子谈判的策略和不公开这一漏洞的行为有点不同寻常。

IDTheftSecurity.com网站的首席执行官Robert Siciliano称:“这种情况几乎让人绝望。当提出勒索要求的犯罪分子出现时,个体或者公司应当把它作为最后的手段,因为他们没有恰当的保护好他们的数据,他们轻视了那些可能遭到泄露的信息和数据而且并未备份。”

Shape安全公司首席技术官员,谷歌前安全专家Shuman Ghosemajumder称:“我不认为优步能够确定那些遭泄露的信息已经被删除。当我们谈论的是下载和储存在计算机系统中的信息时,有许多不同的方式能够瞒过你进行复制。”

相反的是,他认为优步应当在一发生泄漏时就公开这一信息来缓和这一事件。他声称:“这一数据漏洞本身并非像之前几年发生的那些数据漏洞一样糟糕。它并不涉及到像雅虎那样的账号密码或者Equifax那样的社会保险号码。”

虽然优步CEO Dara Khosrowshahi称这一漏洞应本应当进行公开,但优步对它采取的一种措施就是时间会抚平一切创伤。据Khosrowshahi称,在过去几年里,并未出现任何借助漏洞进行欺诈或者数据滥用的报道。优步也试图通过额外的安全保护降低这一影响,优步为美国本土泄露驾驶证编号的驾驶员提供免费的信贷监控和身份盗用保护服务。

但是拖延一年的信息披露引发了更多的问题,为何优步想要隐瞒这一事件,10万美元的交易是否会刺激更多的黑客采取行动?一位网络欺诈专家,Forter欺诈保护公司首席执行官Michael Reitblat称:“物质激励刺激的犯罪分子越多,我们的工作就越难做。我们不应当与计算机网络罪犯进行谈判。”

刺激黑客的一种物质奖励方式就是漏洞报告奖励项目,这些项目鼓励文明的黑客帮助人们发现公司网站上存在的漏洞。包括优步、特斯拉和苹果在内,越来越多的公司已经将漏洞报告作为另外一种安全防护手段。

但是据HackerOne平台(优步建立漏洞报告项目所使用的平台)公布的数据显示,优步将漏洞报告的最高奖金设定在4千到1万美元,远低于优步为这次信息泄露付出的10万美元。(过客)