אובר השתמשה בתוכנת פרס באגים כדי להלבין תשלום סחיטה להאקרים

בנובמבר, חשף מנכ"ל אובר שהיה לחברה שילם להאקר 100,000 דולר למחוק נתונים שהתקבלו מהפרה ב-2016 שבה נחשפו 57 מיליון שמות לקוחות ונהגים של Uber, כתובות דוא"ל ומספרי טלפון. אך החברה לא חשפה מי ההאקר או כיצד בוצע התשלום.

א כך דיווחה רויטרס כעת שופך קצת יותר אור על האופן שבו החברה הסתירה את תשלום הסחיטה שלה - הכסף שולם לאדם שעדיין לא זוהה בפלורידה באמצעות תוכנית הבאונטי באגים של אובר, מנוהל כעת על ידי HackerOne. כיצד אישרו בכירי אובר את מחיקת הנתונים לא נחשף, ומספר סנאטורים אמריקאים ביקשו לחקור את ההפרה, בציטוט שאלות מדוע אובר נכשלה ביצירת קשר עם רשויות אכיפת החוק.

מנכ"לית אובר, דארה חוסרובשאהי, אמרה בפוסט בבלוג על ההפרה כי "לשני אנשים מחוץ לחברה גישה בלתי הולמת לנתוני משתמש המאוחסנים בשירות מבוסס ענן של צד שלישי שבו אנו משתמשים", ושלא היו נתוני תשלום חָשׂוּף. אבל נתוני רישיון הנהיגה של כ-600,000 נהגי אובר נגנבו, וכך גם נתוני קשר של 57 מיליון לקוחות ונהגים. "בזמן התקרית", אמר חוסרובשהי, "נקטנו בצעדים מיידיים לאבטחת הנתונים וסגרנו גישה בלתי מורשית נוספת על ידי האנשים. לאחר מכן זיהינו את האנשים והשגנו הבטחות שהנתונים שהורדנו הושמדו. הטמענו גם אמצעי אבטחה כדי להגביל את הגישה לחשבונות האחסון מבוססי הענן שלנו ולחזק אותם".

Khosrowshahi אמר שרק לאחרונה נודע לו על ההפרה והורה על חקירה פנימית. שני חברי צוות אבטחה לא מזוהים באובר שטיפלו בפרצה פוטרו.

שיא כל הזמנים

הנתונים הסטטיסטיים הציבוריים של HackerOne על תוכנית הפרס אובר מראים כי אובר שילמה 1,289,595 דולר בפרס במהלך החיים של התוכנית עד כה, כולל אחד עבור 10,000 $ המקסימלי שצוין על ידי Uber לחוקר בבריטניה עבור באגים קריטיים. אבל אין פרטי תשלום ציבוריים עבור פרופילי HackerOne שמגיעים ל-100,000 $ דוחות Uber ששילמה עבור השמדת הנתונים או כל מחרוזת של פרסים לאדם בודד שמצטברים לסכום הזה, אז ברור שהתשלום לא בוצע דרך תוכנית HackerOne הציבורית. פקיד לשעבר ב-HackerOne אמר לסוכנות הידיעות רויטרס, ג'וזף מאן ודסטין וולץ, שתשלום כזה יסתכם בתשלום "שיא כל הזמנים" באמצעות תוכנית פרס באג.

קייסי אליס, מייסד ו-CTO של חברת Bugcrowd, הביעה דאגה לגבי האופן שבו חברה יכולה להעביר תשלום סחיטה כתוכנית פרס באגים מבלי לעורר דאגות או אזעקות. "מנקודת מבט אתית", אמר אליס, "התפתחות זו יוצרת בלבול ועלולה לפגוע בצמיחת יחסי חוקר/ספק - למרות העובדה שברור שזה היה תשלום סחיטה, ולא פרס באג אמיתי תשלום."

דובר HackerOne אמר ל-Ars כי לחברה אין תגובה בנושא. אובר גם לא מגיבה על הסיפור של רויטרס. אבל השימוש בשפע באג בדרך זו לא יהיה הראשון בספק אתי של אובר (ובמקרים מסוימים מפוקפקים מבחינה משפטית) חידושי טכנולוגיה, כולל יצירת חשבונות משתמש מזויפים במערכת של המתחרה Lyft כדי לעזור לכרות נתוני נהגים ותמחור בניסיון לזהות אילו נהגים עבדו גם עבור Uber וגם עבור Lyft.