Uber 支付黑客10万美元封口费，这事为什么不好笑？
2017/11/23 14:07:44 浅黑科技

     我上学那会儿接触过一门学科叫“安全经济学”，讲的是传统工程(比如煤矿、工地、工厂等)安全活动的经济规律。俗一点说，就是研究怎么用最少的钱，把安全风险控制在合理范围内。这事挺矛盾，投多少防护设备能确保矿上不出事故不死人？没底。一旦矿上或工地死了人，人命关天啊!这就和网络安全的逻辑有点类似。

     不少网络安全圈里的朋友总说安全的价值无法衡量，其实是句正确的废话。矿上死了人，都人命都关天了，最后还得算经济账，依照规定赔几十到上百万不等。用户数据安全确实无比重要，可是前期投入多少钱，出了事要用多少钱来填坑，安全部门要干活要汇报，最后这些在企业里都只是一笔经济账罢了。

     Uber 的涉事 CSO 曾在联邦检察院和 Facebook 担任过安全职务，那他必然深知其中利害，然而，他选择花钱封口。或许他心里曾经有过个这么一笔经济账：

     数据泄露事件曝光对公司产生的影响(A) × 被曝光的概率(B) = 事情被曝光的损失数学期望 (C)；

     黑客的封口费(X)+ 其他消除影响措施费用(Y)= 消除影响总费用(Z)

     C 远大于 Z，所以选择第二个方案，净赚。

     当时 Uber 的 CSO 内心一定非常矛盾纠结，5700 万个人信息泄露事情闹大，Uber 不仅要遭受有关部门的巨额罚款，还会对公司产生巨大影响。并且，由于主要原因是技术人员犯了低级失误，把账号密码公开在代码托管网站 Github 里，那必然有关人员也收到牵连，自己也要承担管理责任，现在用小小10万美元摆平事件，息事宁人，无事发生。

     资本逐利，商业社会是大人的社会，大多数时候，每个公司都有这么一笔经济账。

     比如，投入了一笔安全费用，它能降低多少安全事故发生的概率或者减少多少损失，这是要有衡量的，并且，它弥补的潜在损失要大于投入费用本身，否则干嘛要用呢？

     再比如，企业的SRC (安全应急响应中心)从白帽子那里收到一个漏洞报告，奖励几百到到几十万元不等，SRC其实也一定有一笔账，他们会权衡漏洞可能产生问题的概率，评定可能产生的效益和社会影响，最后算出来的数额，一定远远超过给到白帽子手里的钱。不然成立 SRC 干嘛呢？

     只能说，这次 Uber 赌输了，Uber 的 CSO 千算万算也没想到，前任CEO卡兰尼克辞职下台，新任CEO上任时的财务审计，发现了这笔去向不明的10万美金。(以上东窗事发的原因为网友推测，并非事实)

     虽然“情夫”收了封口费后缄默不语，但皇后怀孕被医生发现。一步疏忽满盘皆输。

     用经济学原理来解释，就是 Uber 当时低估了事件曝光概率做出了错误判断，选择侥幸。这种侥幸心理在以往大多数公司都存在，这也是网络安全早期不受重视的主要原因。

     以五十步笑百步，则何如？与其看 Uber 的热闹，不妨想一想，企业担心用户数据泄露，是真的关心用户利益，还是担心事情曝光后自身利益受到损害？如果是后者，那是不是息事宁人的做法还不少呢？

     这种事该怎么解决，自然有相关法律法规，轮不到我来瞎BB。但我知道，但凡公民利益受到损害，比如一个工地或煤矿出事死了人，一定先判定是不是责任事故，是不是因为有人在生产、作业中违反有关管理规定导致，管理人员是否起到监管指责，然后该处罚的处罚，该停业整顿的整顿，该坐牢的坐牢。

     但不管怎样，安全是始终是个用风险和后果来计量的经济账。

     一些白帽子提交漏洞时，觉得漏洞不仅要修补，还应该公开，以让更多公司重视安全，这是他们心中的正义，我很钦佩，真的。但我也奉劝他们保护好自己，毕竟你认为自己秉持正义时，在对方那儿不过是笔经济账。

     互联网时代的安全需要整体协作才能完整。既然白帽子要和企业合作提升安全而不是为敌，那就得双方达成一致的方式来做，否则迟早打起来。

     Uber 被辞退的 CSO 做得做得不对，不正义，但确实是全球众多公司的缩影。皇后的贞操被绿了怎么办？当然选择原谅她啊!只是这次东窗事发，检察院和公众都不会选择原谅。

     Uber 被绿了这事真不好笑，谁家没有皇后的贞操？

    

     ---

     以上仅谢幺一家之言，浅黑科技概不负责，欢迎留言讨论(要喷就喷他!他的个人微信号是 dexter0 )

     浅黑科技，让技术被读懂

    

    

    http://weixin.100md.com
返回 浅黑科技 返回首页 返回百拇医药