Tydligen “överraskad” av utgivningen av dokument, TV-nätverk försöker att trycka tillbaka lösen tidsfrist med löfte om betalning
@alexhern
Fredag 11 augusti 2017 10.29 BST
Senast ändrad fredag 11 augusti 2017 12.25 BST
HBO uppges ha erbjudit $250,000 (£193,000) att den grupp som hackad sina servrar under sken av en “bug bounty”, enligt en skärmdump av konversationen släppt av angriparna och ses av Väktare.
En senior vice president för företaget gjort erbjuda den 27 juli, frasering betalning som en belöning för att upptäcka svagheter i HBO: s nätverk snarare än som ansluter sig till kräver lösen.
Det finns inget sätt att kontrollera äktheten av e-post, eller om den har ändrats, men det var delade med vissa butiker via samma e-postadress för att angriparna hade tidigare använts för att läcka stulna uppgifter.
I meddelandet, verkställande säger HBO har “jobbat hårt sedan söndag kväll [23 juli] för att granska allt material som du har gjort tillgängliga för oss. Vi har helt enkelt ännu inte kunnat göra så”.
Den verkställande fortsätter: “har Du fördelen av att ha överraskade oss. I den anda av professionellt samarbete, som vi ber dig att utöka din deadline för en vecka.
“Som ett sätt att visa god tro på vår sida, vi är villiga att åta sig att göra en bug bounty betalning av $250.000 till dig så snart vi kan skapa de nödvändiga konto och få bitcoin.”
Erbjudandet kan ha varit ett försök till stall för tiden, snarare än en verklig förslag av betalning. HBO kom ren om hacka fyra dagar efter bug bounty betalning erbjöds, tala om för allmänheten att det hade upplevt en “it-incidenter, vilket resulterade i en kompromiss av skyddad information”.
Ett skript för Game of Thrones, och två outgivna episoder av dramer Ballers och Rum 104, var ut på nätet samma dag. En vecka efter betalning erbjuda, den 3 augusti, angriparna skickade ut fler bevis för hackat material, och hävdade att de hade tillgång till företagets hela webmail-systemet – ett påstående förnekades av HBO.
Hackare senare ut personlig information om några Game of Thrones aktörer, inklusive e-postadresser och telefonnummer, plus några HBO e-post och konfidentiella filer, tillsammans med en förnyad efterfrågan på en multimiljon dollar lösen.
Bug bounty betalningar är en vanlig företeelse i it-säkerhet, för att uppmuntra till tredje part för att upptäcka och rapportera brister i trygghetssystemen så att de kan vara fast, snarare än att sälja informationen till potentiella angripare.
Men det är ovanligt för dem att betalas ut efter den aktivt utnyttjande av en bugg att stjäla stora mängder data, och extremt ovanligt för dem att betalas ut till anfallare som levererar betalning krav i form av en video av rullande texten till dramatisk musik, be om en betalning av “sex månader lön”, eller $6m – som HBO angriparna gjorde.
Minst en Hollywood hacka offer har betalat den lösensumma som angripare, enligt Hollywood Reporter. Men de flesta offren vägrar att tala om lösen begär, av rädsla för att de betalade entré kommer att göra dem till en måltavla för framtida attacker.
- Stulna naken bilder och hackad defibrillatorer: är detta framtiden av ransomware?