Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ウーバー事件でのハッカーへの支払い

先月のUber事件に対する追加情報がRouters12/7記事に出ていましたので、つぶやいてみます。

jp.reuters.com

昨年起きたユーザー情報流出を隠ぺいするため、通常は脆弱(ぜいじゃく)性の発見に使用されるバグ報奨金制度を通じてフロリダ州の男性(20)に資金を支払い、データを破壊するよう依頼していたことが、関係筋の話で明らかになった。引用:Reuters

身代金について、Uberはどうやって支払ったのか?について非常に疑問があったのですが、Reutersの記事によると、正常の経済行為と見なされる(であろう)、バグ報奨金制度を使った支払いという形をとった様です。

穿った見方をすれば、Uberのこの(不正)行為のために、今後のバグ報奨自体が、特に米国では(支払う)相手先の確認といったことが厳しく問われる方法に向かうのではないかと思われます。

また、記事には(20)とあったので・・・、Uber自身はハッカーの身元について確認が取れている事も示唆しています。当時のUber上層部やセキュリティ担当と、ハッカーの間で秘密にしている(公開できない)情報が更にありそうですね。

 

Uberの事件は、徐々に情報が出てきやすい(特に大手企業で発生した企業は)ので11月記事もたまに更新しております。

foxsecurity.hatenablog.com

 

f:id:foxcafelate:20171210154231j:plain

 

更新履歴

  • 2017年12月10日 PM