花錢求刪除5千多萬條泄露數(shù)據(jù)？Uber：相信黑客能遵守承諾

　　11月24日消息 前些天有報道稱，為了掩蓋2016年發(fā)生的一起重大信息泄漏事故，Uber私下向黑客支付了10萬美元，讓他們刪除盜取的個人數(shù)據(jù)！而據(jù)外媒最新消息顯示，盡管Uber方面堅稱黑客能夠遵守承諾，但安全專家們顯然并不這樣認(rèn)為。

　　據(jù)悉，Uber團(tuán)隊在2016年10月發(fā)現(xiàn)漏洞后，追蹤到了黑客并且付費要求他們刪除數(shù)據(jù)，這些數(shù)據(jù)中包含了全球5千萬乘客和美國700萬駕駛員的姓名、電話和郵箱等信息，其中有60萬駕駛員的駕駛執(zhí)照編碼信息遭到泄漏。

　　Uber一位發(fā)言人拒絕評論為何公司確信這些個人信息已經(jīng)被黑客刪除，但是據(jù)《紐約時報》的報道，作為協(xié)議的一部分內(nèi)容，黑客同意簽署保密協(xié)議。據(jù)專家稱，與勒索軟件背后的黑客討價還價是非常常見的。但是據(jù)安全專家稱，雖然存在一些無法回答的問題，但是Uber與犯罪分子談判的策略和不公開這一漏洞的行為有點不同尋常。

　　IDTheftSecurity.com網(wǎng)站的首席執(zhí)行官Robert Siciliano稱：“這種情況幾乎讓人絕望。當(dāng)提出勒索要求的犯罪分子出現(xiàn)時，個體或者公司應(yīng)當(dāng)把它作為最后的手段，因為他們沒有恰當(dāng)?shù)谋Ｗo(hù)好他們的數(shù)據(jù)，他們輕視了那些可能遭到泄露的信息和數(shù)據(jù)而且并未備份。”

　　Shape安全公司首席技術(shù)官員，谷歌前安全專家Shuman Ghosemajumder稱：“我不認(rèn)為Uber能夠確定那些遭泄露的信息已經(jīng)被刪除。當(dāng)我們談?wù)摰氖窍螺d和儲存在計算機系統(tǒng)中的信息時，有許多不同的方式能夠瞞過你進(jìn)行復(fù)制。”

　　相反的是，他認(rèn)為Uber應(yīng)當(dāng)在一發(fā)生泄漏時就公開這一信息來緩和這一事件。他聲稱：“這一數(shù)據(jù)漏洞本身并非像之前幾年發(fā)生的那些數(shù)據(jù)漏洞一樣糟糕。它并不涉及到像雅虎那樣的賬號密碼或者Equifax那樣的社會保險號碼。”

　　雖然Uber CEO Dara Khosrowshahi稱這一漏洞應(yīng)本應(yīng)當(dāng)進(jìn)行公開，但Uber對它采取的一種措施就是時間會撫平一切創(chuàng)傷。據(jù)Khosrowshahi稱，在過去幾年里，并未出現(xiàn)任何借助漏洞進(jìn)行欺詐或者數(shù)據(jù)濫用的報道。Uber也試圖通過額外的安全保護(hù)降低這一影響，Uber為美國本土泄露駕駛證編號的駕駛員提供免費的信貸監(jiān)控和身份盜用保護(hù)服務(wù)。

　　但是拖延一年的信息披露引發(fā)了更多的問題，為何Uber想要隱瞞這一事件，10萬美元的交易是否會刺激更多的黑客采取行動？一位網(wǎng)絡(luò)欺詐專家，F(xiàn)orter欺詐保護(hù)公司首席執(zhí)行官Michael Reitblat稱：“物質(zhì)激勵刺激的犯罪分子越多，我們的工作就越難做。我們不應(yīng)當(dāng)與計算機網(wǎng)絡(luò)罪犯進(jìn)行談判。”

　　刺激黑客的一種物質(zhì)獎勵方式就是漏洞報告獎勵項目，這些項目鼓勵文明的黑客幫助人們發(fā)現(xiàn)公司網(wǎng)站上存在的漏洞。包括Uber、特斯拉和蘋果在內(nèi)，越來越多的公司已經(jīng)將漏洞報告作為另外一種安全防護(hù)手段。

　　但是據(jù)HackerOne平臺（Uber建立漏洞報告項目所使用的平臺）公布的數(shù)據(jù)顯示，Uber將漏洞報告的最高獎金設(shè)定在4千到1萬美元，遠(yuǎn)低于Uber為這次信息泄露付出的10萬美元。

　　值得一提的是，歐盟數(shù)據(jù)保護(hù)當(dāng)局“第29條工作小組”（Article 29 Working Party）也在本周四宣布，其將在下周的會議上討論Uber掩蓋其大規(guī)模數(shù)據(jù)被盜事件的問題，并有可能成立一個專門的任務(wù)小組來展開協(xié)調(diào)調(diào)查！