Журналисты агентства Reuters узнали подробности масштабной прошлогодней утечки данных клиентов и водителей Uber, факт которой компания попыталась скрыть.
По данным источников, 100 тысяч долларов от сервиса такси получил 20-летний молодой человек из Флориды, похитивший личные данные 57 млн человек, включая 600 тысяч водителей Uber. При этом деньги хакеру были перечислены в рамках программы bug bounty, которая предусматривает поощрения для специалистов по кибербезопасности за информацию о найденных уязвимостях. Подобные программы существуют во многих крупных компаниях, включая саму Uber, Google, Facebook, Apple, Samsung и многие другие.
Как отметил собеседник журналистов, выплата в 100 тысяч долларов является рекордной для платформы HackerOne, которая используется Uber для взаимодействия со специалистами по безопасности. Кроме того, использование HackerOne в качестве площадки перечисления выкупа идет вразрез с предназначением программы bug bounty.
Имя молодого хакера в публикации не раскрывается. Один из источников Reuters сообщил, что он жил вместе с матерью в небольшом доме и хотел помочь ей с оплатой счетов. Другой собеседник агентства заявил, что молодой человек сперва сам заплатил неизвестному лицу, чтобы получить доступ к данным клиентов Uber при помощи программного кода, хранившегося на ресурсе GitHub. Представители GitHub, однако, заявили, что система безопасности сайта не была взломана.
Кто именно в руководстве компании распорядился заплатить хакеру выкуп и сохранить факт утечки в тайне, не уточняется, хотя источники утверждают, что основатель и бывший глава Uber Трэвис Каланик знал об этой ситуации. Известно также, что после перечисления денег компания убедилась в том, что украденные данные были удалены и заставила хакера подписать соглашение о неразглашении.
Напомним, что утечка данных Uber произошла в октябре 2016 года, однако компания сообщила о ней только в конце ноября этого года. Тогда же в Uber уточнили, что заплатили за уничтожение похищенных файлов 100 тысяч долларов, но подробности о хакерах и том, как был организован перевод денег, не раскрывались. При этом глава Uber Дара Хосровшахи сообщил, что компания уволила главу службы безопасности Джо Салливана и юриста Крейга Кларка в связи с утечкой.
Почти сразу же после обнародования сведений об утечке в СМИ появилась информация о том, что за ней могут стоять российские хакеры. Так, клиенты Uber сообщили, что им пришли счета в рублях за поездки на такси в Москве и Санкт-Петербурге, которых они не совершали.