11月24日消息 前些天有报道称,为了掩盖2016年发生的一起重大信息泄漏事故,Uber私下向黑客支付了10万美元,让他们删除盗取的个人数据!而据外媒最新消息显示,尽管Uber方面坚称黑客能够遵守承诺,但安全专家们显然并不这样认为。
据悉,Uber团队在2016年10月发现漏洞后,追踪到了黑客并且付费要求他们删除数据,这些数据中包含了全球5千万乘客和美国700万驾驶员的姓名、电话和邮箱等信息,其中有60万驾驶员的驾驶执照编码信息遭到泄漏。
Uber一位发言人拒绝评论为何公司确信这些个人信息已经被黑客删除,但是据《纽约时报》的报道,作为协议的一部分内容,黑客同意签署保密协议。据专家称,与勒索软件背后的黑客讨价还价是非常常见的。但是据安全专家称,虽然存在一些无法回答的问题,但是Uber与犯罪分子谈判的策略和不公开这一漏洞的行为有点不同寻常。
IDTheftSecurity.com网站的首席执行官Robert Siciliano称:“这种情况几乎让人绝望。当提出勒索要求的犯罪分子出现时,个体或者公司应当把它作为最后的手段,因为他们没有恰当的保护好他们的数据,他们轻视了那些可能遭到泄露的信息和数据而且并未备份。”
Shape安全公司首席技术官员,谷歌前安全专家Shuman Ghosemajumder称:“我不认为Uber能够确定那些遭泄露的信息已经被删除。当我们谈论的是下载和储存在计算机系统中的信息时,有许多不同的方式能够瞒过你进行复制。”
相反的是,他认为Uber应当在一发生泄漏时就公开这一信息来缓和这一事件。他声称:“这一数据漏洞本身并非像之前几年发生的那些数据漏洞一样糟糕。它并不涉及到像雅虎那样的账号密码或者Equifax那样的社会保险号码。”
虽然Uber CEO Dara Khosrowshahi称这一漏洞应本应当进行公开,但Uber对它采取的一种措施就是时间会抚平一切创伤。据Khosrowshahi称,在过去几年里,并未出现任何借助漏洞进行欺诈或者数据滥用的报道。Uber也试图通过额外的安全保护降低这一影响,Uber为美国本土泄露驾驶证编号的驾驶员提供免费的信贷监控和身份盗用保护服务。
但是拖延一年的信息披露引发了更多的问题,为何Uber想要隐瞒这一事件,10万美元的交易是否会刺激更多的黑客采取行动?一位网络欺诈专家,Forter欺诈保护公司首席执行官Michael Reitblat称:“物质激励刺激的犯罪分子越多,我们的工作就越难做。我们不应当与计算机网络罪犯进行谈判。”
刺激黑客的一种物质奖励方式就是漏洞报告奖励项目,这些项目鼓励文明的黑客帮助人们发现公司网站上存在的漏洞。包括Uber、特斯拉和苹果在内,越来越多的公司已经将漏洞报告作为另外一种安全防护手段。
但是据HackerOne平台(Uber建立漏洞报告项目所使用的平台)公布的数据显示,Uber将漏洞报告的最高奖金设定在4千到1万美元,远低于Uber为这次信息泄露付出的10万美元。
值得一提的是,欧盟数据保护当局“第29条工作小组”(Article 29 Working Party)也在本周四宣布,其将在下周的会议上讨论Uber掩盖其大规模数据被盗事件的问题,并有可能成立一个专门的任务小组来展开协调调查!