Uber Membayar 20 Tahun Florida Man $ 100.000 Untuk Tetap Tenang Tentang Pelanggaran Data

Seorang pria Florida berusia 20 tahun bertanggung jawab atas pelanggaran data yang besar di Uber Technologies Inc tahun lalu dan dibayar oleh Uber untuk menghancurkan data melalui program “bug bounty” yang biasanya digunakan untuk mengidentifikasi kerentanan kode, tiga orang yang mengetahui kejadian tersebut mengatakan kepada Reuters.

Uber mengumumkan pada 21 November bahwa data pribadi 57 juta pengguna, termasuk 600.000 pengemudi di Amerika Serikat, dicuri dalam sebuah pelanggaran yang terjadi pada bulan Oktober 2016, dan membayar hacker $ 100.000 untuk menghancurkan informasinya. Namun perusahaan tersebut tidak mengungkapkan informasi tentang hacker tersebut atau bagaimana dia membayar uangnya.

Uber membuat pembayaran tahun lalu melalui sebuah program yang dirancang untuk memberi penghargaan kepada periset keamanan yang melaporkan kekurangan dalam perangkat lunak perusahaan, kata orang-orang ini. Layanan bungkusan bug Uber – seperti program yang dikenal di industri ini – diselenggarakan oleh sebuah perusahaan bernama HackerOne, yang menawarkan platform ke sejumlah perusahaan teknologi.

Reuters tidak dapat menetapkan identitas hacker atau orang lain yang sumbernya membantunya. Juru bicara Uber Matt Kallman menolak berkomentar mengenai masalah tersebut.

Kepala Eksekutif Uber yang baru diangkat Dara Khosrowshahi memecat dua petugas keamanan utama Uber saat mengumumkan pelanggaran tersebut bulan lalu, dengan mengatakan bahwa insiden tersebut seharusnya diungkapkan kepada regulator pada saat ditemukan, sekitar setahun sebelumnya.

Masih belum jelas siapa yang membuat keputusan akhir untuk memberi otorisasi pembayaran kepada peretas dan untuk menjaga rahasia pelanggaran tersebut, walaupun sumber tersebut mengatakannya-CEO Travis Kalanick menyadari adanya pelanggaran pembayaran bug dan pembayaran pada bulan November tahun lalu.

Kalanick, yang mengundurkan diri sebagai CEO Uber pada bulan Juni, menolak untuk mengomentari masalah tersebut, menurut juru bicaranya.

Pembayaran sebesar $ 100.000 melalui program hadiah bug akan sangat tidak biasa, dengan seorang mantan eksekutif HackerOne mengatakan bahwa ini akan mewakili “rekaman sepanjang masa.” Para profesional keamanan mengatakan bahwa seorang hacker yang mencuri data juga akan berada di luar peraturan normal sebuah program hadiah, di mana pembayaran biasanya berada di kisaran $ 5.000 sampai $ 10.000.

HackerOne meng-host program batal bug Uber namun tidak mengelolanya, dan tidak berperan dalam menentukan apakah pembayaran sesuai atau seberapa besar seharusnya.

CEO HackerOne Marten Mickos mengatakan bahwa dia tidak dapat mendiskusikan program pelanggan individual. “Jika semua hadiah hadiah bug diproses melalui HackerOne, kami menerima informasi pengenal penerima dalam bentuk formulir IRS W-9 atau W-8BEN sebelum pembayaran penghargaan tersebut dapat dilakukan,” katanya, mengacu pada Formulir Internal Revenue Service.

Menurut dua sumber tersebut, Uber melakukan pembayaran untuk mengkonfirmasi identitas si hacker dan meminta dia menandatangani perjanjian nondisclosure untuk mencegah kesalahan lebih lanjut. Uber juga melakukan analisis forensik terhadap mesin peretas untuk memastikan data telah dibersihkan, kata sumber tersebut.

Salah satu sumber menggambarkan peretas itu sebagai “tinggal dengan ibunya di sebuah rumah kecil yang berusaha membantu membayar tagihan,” menambahkan bahwa anggota tim keamanan Uber tidak ingin melanjutkan penuntutan terhadap seorang individu yang tampaknya tidak menimbulkan ancaman lebih lanjut.

Peretas Florida membayar orang kedua untuk layanan yang melibatkan akses GitHub, sebuah situs yang banyak digunakan oleh pemrogram untuk menyimpan kode mereka, untuk mendapatkan kredensial untuk akses ke data Uber yang tersimpan di tempat lain, salah satu sumber mengatakan.

GitHub mengatakan bahwa serangan tersebut tidak melibatkan kegagalan sistem keamanannya. “Rekomendasi kami adalah jangan pernah menyimpan token akses, kata sandi, atau kunci otentikasi atau enkripsi lainnya dalam kode,” kata perusahaan itu dalam sebuah pernyataan.

‘MENYUKAINYA DARI ROOFTOPS’
Uber menerima email tahun lalu dari orang tak bernama yang meminta uang dengan imbalan data pengguna, dan pesan tersebut diteruskan ke tim hadiah bug perusahaan dalam apa yang digambarkan sebagai praktik rutin Uber untuk permohonan tersebut, menurut tiga sumber yang mengetahui masalah tersebut.

Program hadiah bug dirancang terutama untuk memberi periset keamanan sebuah insentif untuk melaporkan kelemahan yang mereka temukan di perangkat lunak perusahaan. Tapi skenario rumit bisa muncul saat berhadapan dengan hacker yang mendapatkan informasi secara ilegal atau mencari uang tebusan.

Beberapa perusahaan memilih untuk tidak melaporkan intrusi yang lebih agresif kepada pihak berwenang dengan alasan bahwa hal itu dapat lebih mudah dan efektif untuk melakukan negosiasi langsung dengan peretas guna membatasi kerugian bagi pelanggan.

Pembayaran dan pembekuan sebesar $ 100.000 untuk iPad pada saat itu luar biasa di bawah program semacam itu, menurut pendiri Luta Security Katie Moussouris, mantan eksekutif HackerOne.

“Jika itu adalah hadiah bug yang sah, itu akan ideal bagi semua orang yang terlibat untuk meneriakkannya dari atap rumah,” kata Moussouris.

Kegagalan Uber untuk melaporkan pelanggaran terhadap regulator, meskipun mungkin merasa telah mengatasi masalah tersebut, adalah kesalahan, menurut orang-orang di dalam dan di luar perusahaan yang berbicara dengan Reuters.

“Pembuatan program hadiah bug tidak memungkinkan Uber, penyedia layanan karunia mereka, atau perusahaan lain lainnya untuk memutuskan undang-undang notifikasi pelanggaran tersebut tidak berlaku untuk mereka,” kata Moussouris.

Uber memecat petugas keamanan utamanya, Joe Sullivan, dan seorang wakil, pengacara Craig Clark, atas peran mereka dalam insiden tersebut.

“Semua ini tidak seharusnya terjadi, dan saya tidak akan membuat alasan untuk itu,” Khosrowshahi, mengatakan dalam sebuah posting blog yang mengumumkan hack bulan lalu.

Clark bekerja secara langsung untuk Sullivan namun juga melaporkan ke tim hukum dan privasi Uber, menurut tiga orang yang akrab dengan pengaturan tersebut. Tidak jelas apakah Clark menginformasikan departemen hukum Uber, yang biasanya menangani masalah pengungkapan informasi.

Sullivan dan Clark tidak menanggapi permintaan komentar.

Dalam sebuah wawancara bulan Agustus dengan Reuters, Sullivan, seorang mantan jaksa penuntut dan kepala keamanan Facebook Inc, mengatakan bahwa dia telah mengintegrasikan para insinyur keamanan dan pengembang di Uber “dengan pengacara kami dan tim kebijakan publik kami yang mengetahui peraturan regulator.”

Pekan lalu, tiga manajer top lainnya di unit keamanan Uber mengundurkan diri. Salah satu dari mereka, kepala keamanan fisik Jeff Jones, kemudian mengatakan kepada orang lain bahwa dia pasti akan pergi, kata sumber kepada Reuters. Tiga orang lainnya, insinyur keamanan senior Prithvi Rai, kemudian setuju untuk tetap memegang peran baru.