Gehackt HBO misbruikt bugpremies

De hackers die eerder dit jaar kostbare data hebben gestolen bij HBO is een kwart miljoen dollar geboden. Het tv-bedrijf wilde daarmee tijd winnen, in reactie op de eis van de datadieven. Die eisten namelijk zes miljoen dollar in Bitcoin of anders zouden ze aankomende afleveringen van de populaire tv-serie Game of Thrones online vrijgeven.

Week uitstel

Eind vorige maand is een man aangeklaagd voor deze datadiefstal. HBO’s initiële betalingsbelofte aan de hackers is de maand ervoor al naar buiten gekomen, op basis van e-mails die persbureau Reuters had ingezien. Het bod van een kwart miljoen dollar was gedaan om een week uitstel te krijgen voor de publicatiedeadline van het gestolen materiaal.

HBO bood aan deze betaling te voldoen via zijn programma voor het melden van beveiligingslekken. Dergelijke bug bounty-programma’s moeten hackers motiveren om kwetsbaarheden op verantwoorde wijze te melden bij getroffen bedrijven en organisaties.

Het tv-netwerk lijkt hiermee het voorbeeld van taxi-app Uber te volgen, dat een jaar geleden een hack heeft afgekocht via zijn eigen bugpremieprogramma. Security-experts hekelen dit misbruik van beloningssystemen voor verantwoorde bugmelding. Het zou namelijk serieus securitywerk ondermijnen of ontmoedigen.

Slecht voorbeeld

In het geval van Uber ging het echter om zwijggeld om de hele hack stil te houden en om de dieven de gestolen data te laten vernietigen. Vervolgens heeft Uber dit een jaar lang verzwegen. Het afkopen en verborgen houden van de hack wordt nu onderzocht door de Autoriteit Persoonsgegevens.