Kako je Uber izplačal 100.000 dolarjev odkupnine

Reuters je razkril, kako je Uber izplačal 100.000 dolarjev odkupnine, v zameno za katero so hekerji pobrisali osebne podatke Uberjevih strank, ki so jih pridobili v vdoru lanskega oktobra. Trije različni viri blizu podjetja so za Reuters potrdili, da je Uber 100.000 dolarjev 20-letnemu Floridčanu izplačal v okviru programa za nagrajevanje prijavljenih ranljivosti (bug bounty). Tovrstne programe ima veliko podjetij, z njimi pa motivirajo in nagrajujejo raziskovalce, da odkrivajo in prijavljajo manjše in večje ranljivosti v kodi. Po neuradnih podatkih pa je Uber to uporabil kot pretvezo za izplačilo odkupnine, s katero so se napadalci zavezali, da bodo izbrali osebne podatke 57 milijonov Uberjevih uporabnikov. Identiteta prejemnika denarja in njegovih pajdašev ostaja skrivnost.

Plačila v sklopu programov za lovljenje hroščev so pogosta, a nikoli ne dosegajo šestmestnih zneskov. Tipično gre za nekaj tisoč dolarjev za največje luknje, za manjše pa so zneski še bistveno nižji. Za Uber ta program upravlja podjetje HackerOne, ki pa izpolnjuje zgolj zakonske formalnosti, medtem ko se vsebinske odločitve sprejemajo v Uberju. V HackerOne so dejali, da ne morejo komentirati posameznih primerov ali strank. Viri blizu Uberja trdijo, da je 20-letni heker prejel 100.000 dolarjev, hkrati pa je moral podpisati pogodbo o ne razkrivanju in prepovedi nadaljnjih vdorov. Uber naj bi se odločil, da ga ne bo kazensko preganjal, ker po oceni ni predstavljal nadaljnje nevarnosti. To je nesprejemljivo, kar je potrdil tudi sedanji Uberjev izvršni direktor, ki je obljubil, da se kaj podobnega ne bo več zgodilo, vsi vdori pa bodo prijavljeni in razkriti uporabnikom.

Uradnih informacij Uber ne daje. Doslej so v programu za nagrajevanje ranljivosti izplačali 1,3 milijona dolarjev, največji uradno potrjeni znesek pa je znašal 10.000 dolarjev.