Uber傳以抓蟲獎金為名支付資料外洩贖金

Uber 11月曾經坦承去年10月被駭遭竊資料5700 萬筆。當時有報導指出Uber安全長因支付駭客10萬美元換取銷毁資料，不過未說明如何被駭以及如何付贖金。路透社周四引述3名消息人士報導，該公司是以抓漏獎勵金方式支付這筆錢。

消息人士指出，Uber是在去年經由平台業者HackOne代管的抓漏大賽支付10萬贖獎金給駭客，這類比賽中，軟體公司藉由參賽者找出產品或網路、伺服器環境中的漏洞，以強化產品及基礎架構的安全性，並支付獎金作為代價。HackOne只提供平台，但一切規則都是由主辦單位Uber決定。一般抓漏單筆獎金約在數千美元，最多1萬美元，10萬獎金相當罕見，可以說是破紀錄的高。不過路透社並未能找到獲此獎金的參賽者身份。

根據報導，這名駭客是一名20歲住在美國佛羅里達州的男子，他在另一名人士協助下，取得Uber儲存於GitHub的用戶資料庫帳密後，得以竊走Uber資料。GitHub強調此事並非出於該平台安全系統被駭。駭客隨後向Uber發信匿名勒索，最後轉到舉辦抓漏比賽的小組。

目前不確定是誰下此決定，報導引述消息人士聲稱當時在位的執行長Travis Kalanick對此知情，但Kalanick拒絕評論。

消息人士指出，Uber希望透過比賽確認駭客的身份，而且在支付贖金後，要求該駭客簽下保密協定保證不再犯。同時Uber也對駭客電腦執行鑑識分析以確保資料完全清除。基於該名男子與母親同住一間小房子，生活條件並不優渥，因此Uber安全部門決定不追究其責任。

不過在11月底Uber公佈被駭並支付贖金消息曝光時，該公司資安長已經遭「被離職」處份。

抓漏的安全研究人員和駭客往往是一體兩面。無人機業者大疆科技（DJI）8月間也舉辦了抓蟲獎勵方案，但一名參賽者因為種種問題，最後被DJI反過來指為駭客而揚言控告他。