Uber fez o pagamento no ano passado por meio de um programa projetado para recompensar pesquisadores de segurança que relatam falhas no software
Por Redação, com Reuters - de São Francisco/Washington:
Um homem da Flórida, de 20 anos de idade, foi responsável pelo grande vazamento de dados do Uber Technologies no ano passado e foi pago pela empresa para destruir os dados através do chamado programa de recompensa por bugs, normalmente usado para identificar pequenas vulnerabilidades de códigos, disseram à agência inglesa de notícias Reuters três pessoas familiarizadas com os eventos.
O Uber anunciou em 21 de novembro que os dados pessoais de 57 milhões de usuários; incluindo 600 mil motoristas nos Estados Unidos, foram roubados em um vazamento ocorrido em outubro de 2016 e que pagou ao hacker US$ 100 mil para destruir os dados. Mas a empresa não revelou nenhuma informação sobre o hacker ou como ele recebeu o dinheiro.
Uber fez o pagamento no ano passado por meio de um programa projetado para recompensar pesquisadores de segurança; que relatam falhas no software de uma empresa, disseram as pessoas. O serviço do Uber de “recompensa por bugs”; como os programas do tipo são conhecidos no setor; é hospedado por uma empresa chamada HackerOne, que oferece sua plataforma para uma série de empresas de tecnologia.
Identidade do hacker
A Reuters não pôde estabelecer a identidade do hacker ou da outra pessoa; que, segundo as fontes, ajudou. O porta-voz do Uber, Matt Kallman, recusou-se a comentar o assunto.
Um pagamento de US$ 100 mil através de um programa de “recompensas por bugs” seria extremamente incomum; e um ex-executivo da HackerOne; disse que representaria um “recorde histórico”. Os profissionais de segurança disseram que recompensar um hacker; que roubou dados também estaria bem fora das regras normais de um programa de recompensas; onde os pagamentos geralmente estão na faixa de US$ 5 mil a US$ 10 mil.
Acordo
De acordo com duas das fontes, o Uber efetuou o pagamento para confirmar a identidade do hacker; e o fez assinar um acordo de não divulgação para dissuadir novas irregularidades. O Uber também realizou uma análise forense da máquina do hacker para se certificar de que os dados foram apagados; disseram as fontes.
Uma fonte disse que o hacker “vive com sua mãe em uma pequena casa e tenta ajudar no pagamento das contas”; acrescentando que os membros da equipe de segurança do Uber não quiseram processar um indivíduo; que aparentemente não representaria ameaça adicional.
Os programas de recompensas de bugs são projetados principalmente; para proporcionar aos pesquisadores de segurança um incentivo para relatar fraquezas que eles descobrem nos softwares de empresas. Mas o cenário pode complicar quando hackers obtêm informações ilegalmente ou pedem resgate.