旧金山电 — “你好,乔。” 2016 年 11 月,一名自称“约翰·道斯(John Doughs)”的人在邮件里写到,“我发现了 Uber 的一个巨大漏洞。”
这封邮件看上去和 Uber 首席安全官乔·苏利文(Joe Sullivan)及他的团队从公司“漏洞赏金”项目中收到的常规邮件没什么不同。根据 Uber 现员工以及前雇员提供的信息,这个项目会给发现公司召车服务系统漏洞的黑客发放奖金。
然而,这封邮件和 Uber 为黑客发放 10 万美元奖金的做法(最开始被当成一场企业安全领域的罕见胜利)最终变成了公司的公关灾难。去年 11 月, Uber 公布了这起发生于 2016 年的事件,透露 5700 万名司机和乘客的账户曾面临泄漏风险,八月上任的首席执行官达拉·科斯罗沙希(Dara Khosrowshahi)称,没有尽早通知公众的做法“很失败”。苏利文和另一名员工被开除。
之后几周里,Uber 处理网络袭击的做法遭到了严厉的批判。Uber 不仅为黑客支付了过高的奖金,而且直到一年后才公布自己曾短时间丧失了对巨量用户和司机数据的控制权。这种做法引发了人们对存在包庇行为的质疑,人们还怀疑 Uber 的安全团队是否长久以来都不受监控,而这笔奖金会不会其实是他们支付给黑客的赎金。如今,随着五个州的检察长针对 Uber 是否违反了信息泄露知会法案而展开调查,这次网络袭击已是至少四起诉讼的对象。除此之外,北卡罗莱纳州的联邦检察官也已经开始对这起案件进行刑事调查。
最重要的是,这起网络袭击和 Uber 的反应引发了一场大讨论:那些竭力封闭了自己系统的公司是否可以做到严谨诚实地和黑客合作,而不会让自己置身于法律的对立面。
Uber 将自己塑造成了在安全方面无懈可击的公司。当很多公司数年来都对黑客入侵自己系统毫无知觉的时候,Uber 和其他公司就雇佣了前执法人员和情报分析师,并设置了多层技术壁垒和密码安全系统。他们和其他公司一道,张开怀抱欢迎了曾被自己视作罪犯的黑客,以最高 20 万美元的悬赏鼓励他们上报系统漏洞。
但自从 Uber 公布这次事件以来,硅谷的公司们开始更严格地审视自己的赏金项目。两名因保密要求而隐去了公司名称、但和这些公司有合作关系的咨询师透露,至少有三家公司已经开始审查相关项目。其他人则称,因为没有举报约翰·道斯就(对 Uber)提起刑事诉讼的做法会吓走那些本会站出来的有良知的黑客,导致更多的安全事故。
协助 Uber 等客户协调和黑客之间交流以及付款的安全公司 HackerOne 联合创始人亚历克斯·赖斯(Alex Rice)说:“任何导致企业退缩、不再欢迎来自安全社区的贡献的做法,都会影响到所有人。”
这个情况还因为 Uber 对于边界的习惯性试探变得更加复杂,也正是这种试探让公司在去年深陷批判,促使首席执行官特拉维斯·卡兰尼克(Travis Kalanick)在 6 月辞职。而接任的科斯罗沙希则誓言要改变公司的作风。
对这次 Uber 遇袭和公司反应的报道是基于对十几名处理了这一事件的人士的采访得出的,因为涉及信息的机密性,很多人拒绝透露姓名。很多受访者是 Uber 安全团队的现员工和前雇员,他们辩称自己的做法是高管们应对自家系统安全问题的最好例子。《纽约时报》还获得了超过 20 份和该起事件相关的 Uber 内部邮件和文件。
在一份声明中,苏利文驳斥了 2016 年事件是信息泄露的说法,声称 Uber 将其看作一桩官方许可的漏洞披露行为。
“我对那些通过暗示这是一起包庇事件而对 Uber 抹黑的人感到吃惊和失望。”他还补充说,自己为公司的工程师能赶在漏洞被利用前完成修复感到骄傲。因为调查还在进行,他拒绝讨论那次信息公开。
Uber 发言人马特·卡尔曼(Matt Kallman)说:“我们坚信,公开 2016 年数据泄露事件的做法是对的——这个决定做起来并不难,而且也是个正确决定。”
发言人表示,卡兰尼克拒绝置评。
Uber 在 2016 年启动了赏金项目,召集黑客们寻找那种特别会引发敏感用户数据泄露的漏洞。风险越高,赏金也就越多。在 Uber 的计算里,支付赏金总好过在攻击者们利用缺陷后才知道其存在。
等苏利文收到约翰·道斯邮件的时候,Uber 已经为数百名黑客支付了奖金。苏利文将约翰·道斯的邮件转发给团队,如果证实的话就对其进行修补并发放奖金。
Uber 安全团队给黑客们起了昵称,尤其是那些和公司联系的有趣匿名黑客。约翰·道斯因为劝告 Uber 应该有更好的安全措施被称为“传道者”(Preacher)。
“通过这样的方式发现这个漏洞让我感到失望,”他在写给 Uber 产品安全工程经理罗布·弗莱彻(Rob Fletcher)的邮件中说,“尤其还是发生在 Uber 这样的公司身上。”
《纽约时报》拿到的其他邮件显示,弗莱彻将此次事件视作申请赏金的行为,并鼓励传道者提供漏洞存在的证据,比如发送几行他从黑掉的数据库里获取的信息。
根据《纽约时报》获得的邮件,Uber 很快发现某些雇员将名为“钥匙”的特定代码放在一家名为 Github 的编程网站上。正是这些钥匙让传道者进入了 Uber 的亚马逊网络服务器,这里存储着 Uber 的源代码和多达 5700 万顾客和司机的账户信息,包括约 60 万司机的驾照号码。这是一次严重的疏忽。为了修补漏洞,Uber 不得不通知公司全员暂时断开和 Github 的链接。
黑客和弗莱彻继续着邮件往来。弗莱彻感谢黑客帮助公司修复了漏洞。在两封邮件里,传道者的动机看上去很像是勒索。其中一封邮件里,他要求 Uber 为自己的发现支付高额补偿。在弗莱彻告诉他公司的最高赏金是 10 万美元后,传道者说他和自己的团队只接受至少 6 位数的赏金。
弗莱彻称自己需要获得支付 10 万美元赏金的授权,并需要传道者承诺删除他已经下载的数据。弗莱彻同时也敦促黑客通过 HackerOne 接收付款,后者要求赏金获得者们公布自己的真实身份以符合税务要求。
弗莱彻通过邮件获得了关于黑客的更多细节信息,比如有关他身份的小道消息、使用的托管商、电脑的位置,还通过托管商提供的系统虚拟副本,确认他删除了下载的 Uber 数据。
根据这些邮件,Uber 一度答应为传道者提供了一次全额报销的旧金山之旅(旧金山是 Uber 所在地)。Uber 想请他来讨论他的安全技术,并答应要将他介绍给对他技术感兴趣的公司。传道者拒绝了这个邀请。
当时 Uber 高管已经做出了决定。根据邮件内容,卡兰尼克同意了这笔 10 万美金的赏金,前提是黑客要签署一份协议,销毁自己发现的所有数据。
根据邮件内容,传道者留下的数码痕迹最终带领 Uber 找到了名叫布兰登(Brandon)的 20 岁男子,他和家人住在佛罗里达州的一处房车园地。Uber 一封邮件里提出,要派员工和布兰登在当地一家咖啡馆碰面。布兰登拒绝离开住处,建议 Uber 员工到家中见面。布兰登正是在这里签署了协议,向 Uber 保证会删除已经下载的数据。
《纽约时报》没能获知布兰登的全名。发往约翰·道斯的邮件被退回了。
Uber 安全团队很快就开始庆祝对此次可能导致重大安全事故的事件的处理。根据公司现员工和前雇员的说法,苏利文和同事们在年终考核中受到了表彰,卡兰尼克也提出了表扬。
现在的焦点在于 Uber 高管支付 10 万美金的行为是否违反了法律,以及是否应该尽快通知顾客和政府官员。但对这一情况,并没有清晰的法律界定。
有关漏洞赏金的法律还模棱两可,尤其是涉及到那些黑客们可以访问乃至储存敏感顾客数据的漏洞。7 月的时候,司法部首次介入了这类赏金项目,但让公司自己主导给黑客们的权限,以及确定黑客们可以怎么处理这些数据。Uber 的赏金规则同意并鼓励黑客去寻找那些暴露了敏感用户信息的系统漏洞。
关于信息泄露公开的法律各州都不一样。和 Uber 案件最相关的州法律则要求泄露了司机驾照信息的“安全事故”必须公开。
根据邮件内容,2016 年 11 月 8 日,布兰登分两次收到了 Uber 支付的赏金,每次 5 万美元。2017 年, Uber 继续和布兰登保持着邮件往来,直到相关对话渐渐止息为止。
事情似乎解决了——直到苏利文在准备感恩节晚餐的时候接到了一通电话。两名熟悉此事的人透露说,在那次通话中,他因为没及时向相关主管报告这次事件被解雇了,且该决定立即生效。
翻译:熊猫译社 Harry
题图版权:Daniel Zender
文章翻译自纽约时报
声明:本文来自好奇心日报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。