كان جو سوليفان ، الذي كان كبير مسؤولي الأمن في أوبر من 2015 إلى 2017 ، كذلك مدان في محكمة اتحادية أمريكية بالتستر على خرق بيانات في الشركة في عام 2016.
اتُهم سوليفان بعرقلة الإجراءات التي أجرتها لجنة التجارة الفيدرالية (The لجنة التجارة الاتحادية، هيئة حقوق المستهلك الأمريكية) ، وإخفاء جريمة ، وهي جريمة معروفة في المصطلحات القانونية باسم خاص خطأ.
وجدته هيئة المحلفين مذنبا في هاتين الجريمتين.
We كتب لأول مرة عن يعود الاختراق وراء هذه القضية المحكمة التي حظيت باهتمام واسع في نوفمبر 2017 ، عندما ظهرت أخبار عنها بشكل مباشر.
على ما يبدو ، جاء الاختراق بعد "سلسلة هجوم" مألوفة بشكل مخيب للآمال:
- قام شخص ما في Uber بتحميل مجموعة من التعليمات البرمجية المصدر إلى GitHub ، ولكن تضمين دليل يحتوي بطريق الخطأ على بيانات اعتماد الوصول.
- عثر المتسللون على أوراق الاعتماد المسربة ، واستخدموها للوصول إلى بيانات Uber المستضافة في سحابة Amazon والبحث عنها.
- وهكذا قامت خوادم أمازون باختراق المعلومات الشخصية على أكثر من 50,000,000،7,000,000،600,000 راكب Uber و 60,000،XNUMX،XNUMX سائق ، بما في ذلك أرقام رخصة القيادة لحوالي XNUMX،XNUMX سائق وأرقام الضمان الاجتماعي (SSN) مقابل XNUMX،XNUMX.
ومن المفارقات أن هذا الانتهاك حدث عندما كانت أوبر في خضم تحقيق لجنة التجارة الفيدرالية في خرق عانت منه في عام 2014.
كما يمكنك أن تتخيل ، يتعين عليك الإبلاغ عن خرق هائل للبيانات بينما تكون في منتصف الرد على المنظم بشأن خرق سابق ، وأثناء محاولتك طمأنة السلطات بأنه لن يحدث مرة أخرى ...
... يجب أن تكون حبوب منع الحمل صعبة البلع.
في الواقع ، ظل خرق 2016 صامتًا حتى عام 2017 ، عندما كشفت الإدارة الجديدة في أوبر القصة واعترفت بالحادثة.
وذلك عندما ظهر أن المتسللين الذين قاموا بسرقة جميع سجلات العملاء وبيانات السائقين في العام السابق حصلوا على 100,000 دولار لحذف البيانات والتزام الصمت حيال ذلك:
من وجهة نظر تنظيمية ، بالطبع ، كان على أوبر الإبلاغ عن هذا الانتهاك على الفور في العديد من الولايات القضائية حول العالم ، بدلاً من تكتمه لأكثر من عام.
في المملكة المتحدة ، على سبيل المثال ، مكتب مفوض المعلومات علق بشكل مختلف في الموعد:
يثير إعلان أوبر عن خرق مخفي للبيانات في أكتوبر الماضي مخاوف كبيرة بشأن سياسات وأخلاقيات حماية البيانات. [2017-11-22T10: 00Z]
تقع على عاتق الشركة دائمًا مسؤولية تحديد متى تأثر مواطنو المملكة المتحدة كجزء من خرق البيانات واتخاذ خطوات لتقليل أي ضرر يلحق بالمستهلكين. قد يؤدي الإخفاء المتعمد للانتهاكات من المنظمين والمواطنين إلى فرض غرامات أعلى على الشركات. [2017-11-22T17: 35Z]
أكدت أوبر أن خرق البيانات في أكتوبر 2016 أثر على ما يقرب من 2.7 مليون حساب مستخدم في المملكة المتحدة. وقالت أوبر إن الخرق يتعلق بأسماء وأرقام هواتف محمولة وعناوين بريد إلكتروني. [2017-11-29]
تساءل قراء Naked Security عن كيفية دفع مبلغ 100,000،XNUMX دولار للقراصنة دون جعل الأمور تبدو أسوأ ، ونحن تكهن:
سيكون من المثير للاهتمام أن نرى كيف تتكشف القصة - إذا كان بإمكان قيادة أوبر الحالية الكشف عنها في هذه المرحلة ، أي. أفترض أنه يمكنك إنهاء مبلغ 100,000 دولار على أنه "مكافأة مكافأة خطأ" ، لكن هذا لا يزال يترك مسألة اتخاذ قرار مناسب للغاية لنفسك أنه لم يكن من الضروري الإبلاغ عن ذلك.
يبدو أن هذا هو بالضبط ما حدث: تم كتابة الخرق الذي حدث في الوقت الخطأ تمامًا في منتصف التحقيق في الانتهاك على أنه "مكافأة خطأ" ، وهو أمر عادة ما يعتمد على الإفصاح الأولي الذي يتم إجراؤه بشكل مسؤول ، وليس في شكل طلب ابتزاز.
عادةً ، لن يسرق صائد المكافآت الأخلاقي البيانات أولاً ويطلب أموالاً صامتة لعدم نشرها ، كما يفعل محتالو برامج الفدية غالبًا هذه الأيام. بدلاً من ذلك ، يقوم صائد المكافآت الأخلاقي بتوثيق المسار الذي قادهم إلى البيانات ونقاط الضعف الأمنية التي سمحت لهم بالوصول إليها ، وربما تنزيل عينة صغيرة جدًا ولكنها تمثيلية لإقناع أنفسهم بأنها كانت بالفعل قابلة للاسترجاع عن بُعد. وبالتالي لن يحصلوا على البيانات في المقام الأول لاستخدامها كأداة ابتزاز ، وأي إفشاء عام محتمل متفق عليه كجزء من عملية مكافأة الأخطاء سيكشف عن طبيعة الثغرة الأمنية ، وليس البيانات الفعلية التي كانت معرضة للخطر. (توجد تواريخ "إفشاء بحلول" مرتبة مسبقًا لمنح الشركات وقتًا كافيًا لإصلاح المشكلات من تلقاء نفسها ، مع تحديد موعد نهائي للتأكد من أنها لا تحاول التخلص من المشكلة بدلاً من ذلك.)
صح ام خطأ؟
أدت الضجة حول خرق Uber والتستر في النهاية إلى اتهامات ضد منظمات المجتمع المدني نفسه ، ووجهت إليه تهمة الجرائم المذكورة أعلاه.
انتهت محاكمة سوليفان ، التي استمرت أقل من شهر بقليل ، في نهاية الأسبوع الماضي.
جذبت القضية الكثير من الاهتمام في مجتمع الأمن السيبراني ، لأسباب ليس أقلها أن العديد من شركات العملات المشفرة ، التي تواجه مواقف حيث سرق المتسللون ملايين أو مئات الملايين من الدولارات ، على ما يبدو. على نحو متزايد (و علانية) على استعداد لاتباع نوع مشابه جدًا من مسار "دعنا نعيد كتابة سجل الاختراق".
"رد المال الذي سرقته ،" يتوسلون ، غالبًا في تبادل التعليقات عبر blockchain للعملة المشفرة المنهوبة ، "وسنسمح لك بالاحتفاظ بكمية كبيرة من المال كدفعة مكافأة خطأ ، وسنبذل قصارى جهدنا لإبعاد سلطات إنفاذ القانون عن ظهرك. "
إذا كانت النتيجة النهائية لإعادة كتابة سجل الاختراق بهذه الطريقة هي حذف البيانات المسروقة ، وبالتالي تجنب أي ضرر فوري للضحايا ، أو إرجاع العملات المشفرة المسروقة التي كانت ستفقد إلى الأبد ، فهل الغاية تبرر الوسيلة؟
في حالة سوليفان ، قررت هيئة المحلفين على ما يبدو ، بعد أربعة أيام من المداولات ، أن الإجابة كانت "لا" ، ووجدته مذنباً.
لم يتم تحديد موعد حتى الآن لإصدار الحكم ، ونحن نخمن أن سوليفان ، الذي كان هو نفسه المدعي العام الفيدرالي ، سوف يستأنف.
شاهد هذا الفضاء ، لأن هذه القصة ستصبح بالتأكيد أكثر إثارة للاهتمام ...
- سلسلة كتلة
- عملة عبقرية
- محافظ cryptocurrency
- cryptoexchange
- الأمن الإلكتروني
- مجرمو الإنترنت
- الأمن السيبراني
- فقدان البيانات
- وزارة الأمن الداخلي
- محافظ رقمية
- جدار الحماية
- الامتثال GDPR
- Kaspersky
- البرمجيات الخبيثة
- مكافي
- الأمن عارية
- NexBLOC
- أفلاطون
- أفلاطون ع
- الذكاء افلاطون البيانات
- لعبة أفلاطون
- أفلاطون داتا
- بلاتوغمينغ
- خصوصية
- سوليفان
- اوبر
- VPN
- أمن الانترنت
- زفيرنت
![S3 Ep98: ملحمة LastPass – هل يجب أن نتوقف عن استخدام برامج إدارة كلمات المرور؟ [صوت + نص] ذكاء بيانات PlatoBlockchain. البحث العمودي. منظمة العفو الدولية.](https://platoblockchain.com/wp-content/uploads/2022/09/bn-1200-300x157.png "S3 Ep98: ملحمة LastPass - هل يجب أن نتوقف عن استخدام مديري كلمات المرور؟ [صوت + نص]")
