প্রাক্তন Uber CSO 2016 সালে মেগাব্রেচ ঢাকতে দোষী সাব্যস্ত হয়েছে

জো সুলিভান, যিনি 2015 থেকে 2017 সাল পর্যন্ত উবারের চিফ সিকিউরিটি অফিসার ছিলেন, অপরাধী 2016 সালে কোম্পানির একটি ডেটা লঙ্ঘন ধামাচাপা দেওয়ার জন্য একটি মার্কিন ফেডারেল আদালতে।

সুলিভানের বিরুদ্ধে এফটিসি দ্বারা পরিচালিত কার্যক্রমে বাধা দেওয়ার অভিযোগ আনা হয়েছিল ফেডারেল ট্রেড কমিশন, মার্কিন ভোক্তা অধিকার সংস্থা), এবং একটি অপরাধ গোপন করা, একটি অপরাধ যা আইনি পরিভাষায় এর অদ্ভুত নামে পরিচিত misprision.

জুরি তাকে এই দুটি অপরাধের জন্য দোষী সাব্যস্ত করেছে।

We সম্পর্কে প্রথম লিখেছেন 2017 সালের নভেম্বরে এই ব্যাপকভাবে দেখা আদালতের মামলার পিছনে লঙ্ঘন, যখন এটি সম্পর্কে খবরটি প্রাথমিকভাবে উঠে আসে।

স্পষ্টতই, লঙ্ঘনটি একটি হতাশাজনকভাবে পরিচিত "আক্রমণ চেইন" অনুসরণ করেছে:

• উবারে কেউ গিটহাবে সোর্স কোডের একটি গুচ্ছ আপলোড করেছে, কিন্তু দুর্ঘটনাক্রমে একটি ডিরেক্টরি অন্তর্ভুক্ত করা হয়েছে যাতে অ্যাক্সেস শংসাপত্র রয়েছে।
• হ্যাকাররা ফাঁস হওয়া শংসাপত্রগুলিতে হোঁচট খেয়েছে, এবং Amazon-এর ক্লাউডে হোস্ট করা Uber ডেটাতে অ্যাক্সেস এবং খোঁচা দিতে সেগুলি ব্যবহার করে৷
• অ্যামাজন সার্ভারগুলি এইভাবে প্রকাশিত ব্যক্তিগত তথ্য লঙ্ঘন করেছে 50,000,000 এরও বেশি উবার রাইডার এবং 7,000,000 ড্রাইভারের উপর, যার মধ্যে প্রায় 600,000 ড্রাইভারের জন্য ড্রাইভিং লাইসেন্স নম্বর এবং 60,000-এর জন্য সামাজিক নিরাপত্তা নম্বর (SSN) রয়েছে।

হাস্যকরভাবে, এই লঙ্ঘনটি ঘটেছিল যখন Uber 2014 সালে একটি লঙ্ঘনের জন্য FTC তদন্তের মধ্যে ছিল।

আপনি যেমন কল্পনা করতে পারেন, আগের লঙ্ঘনের বিষয়ে নিয়ন্ত্রকের কাছে উত্তর দেওয়ার মাঝখানে থাকাকালীন এবং যখন আপনি কর্তৃপক্ষকে আশ্বস্ত করার চেষ্টা করছেন যে এটি আবার ঘটবে না তখন একটি বিশাল ডেটা লঙ্ঘনের প্রতিবেদন করতে হচ্ছে…

… গ্রাস করা কঠিন বড়ি হতে হয়েছে.

প্রকৃতপক্ষে, 2016 সালের লঙ্ঘনটি 2017 পর্যন্ত চুপচাপ রাখা হয়েছিল, যখন উবারের নতুন ব্যবস্থাপনা ঘটনাটি উন্মোচন করেছিল এবং ঘটনার কথা স্বীকার করেছিল।

তখনই এটি আবির্ভূত হয় যে হ্যাকাররা যারা আগের বছর সেই সমস্ত গ্রাহকের রেকর্ড এবং ড্রাইভারের ডেটা বের করে দিয়েছিল তাদের ডেটা মুছে ফেলার জন্য এবং এটি সম্পর্কে নীরব থাকার জন্য $100,000 প্রদান করা হয়েছিল:

একটি নিয়ন্ত্রক দৃষ্টিকোণ থেকে, অবশ্যই, উবারকে এক বছরেরও বেশি সময় ধরে এটিকে চুপ করে রাখার পরিবর্তে বিশ্বের অনেক বিচারব্যবস্থায় এই লঙ্ঘনের বিষয়ে এখনই রিপোর্ট করা উচিত।

যুক্তরাজ্যে, উদাহরণস্বরূপ, তথ্য কমিশনারের অফিস বিভিন্ন মন্তব্য করেছেন সময়:

গত অক্টোবরে গোপন তথ্য লঙ্ঘন সম্পর্কে উবারের ঘোষণা তার ডেটা সুরক্ষা নীতি এবং নীতিশাস্ত্রের চারপাশে বিশাল উদ্বেগ উত্থাপন করে। [2017-11-22T10:00Z]

ডেটা লঙ্ঘনের অংশ হিসাবে যুক্তরাজ্যের নাগরিকরা কখন প্রভাবিত হয়েছে তা চিহ্নিত করা এবং ভোক্তাদের ক্ষতি কমাতে পদক্ষেপ নেওয়া সর্বদা কোম্পানির দায়িত্ব। ইচ্ছাকৃতভাবে নিয়ন্ত্রক এবং নাগরিকদের কাছ থেকে লঙ্ঘন গোপন করা কোম্পানিগুলির জন্য উচ্চতর জরিমানা আকর্ষণ করতে পারে। [2017-11-22T17:35Z]

Uber নিশ্চিত করেছে যে অক্টোবর 2016-এ তার ডেটা লঙ্ঘন যুক্তরাজ্যে আনুমানিক 2.7 মিলিয়ন ব্যবহারকারীর অ্যাকাউন্টগুলিকে প্রভাবিত করেছে। উবার বলেছে যে লঙ্ঘনের সাথে নাম, মোবাইল ফোন নম্বর এবং ইমেল ঠিকানা জড়িত। [2017-11-29]

নেকেড সিকিউরিটি পাঠকরা অবাক হয়েছিলেন যে কীভাবে $100,000 হ্যাকার পেমেন্ট করা যেতে পারে বিষয়টিকে আরও খারাপ না দেখায়, এবং আমরা জল্পিত:

গল্পটি কীভাবে উন্মোচিত হয় তা দেখতে আকর্ষণীয় হবে - যদি বর্তমান উবার নেতৃত্ব এই পর্যায়ে এটিকে প্রকাশ করতে পারে, অর্থাৎ। আমি মনে করি আপনি "বাগ বাউন্টি পেআউট" হিসাবে $100,000 গুটিয়ে নিতে পারেন, কিন্তু এটি এখনও খুব সুবিধাজনকভাবে নিজের জন্য সিদ্ধান্ত নেওয়ার সমস্যাটি ছেড়ে দেয় যে এটি রিপোর্ট করার প্রয়োজন ছিল না।

মনে হচ্ছে ঠিক তাই ঘটেছে: লঙ্ঘন-যা-আসা-ঠিক-ঠিক-ভুল-সময়-এক-লঙ্ঘন-তদন্তের মাঝখানে-কে একটি "বাগ বাউন্টি" হিসাবে লেখা হয়েছিল, এমন কিছু সাধারণত প্রাথমিক প্রকাশের উপর নির্ভর করে দায়িত্বের সাথে করা, এবং ব্ল্যাকমেইলের দাবির আকারে নয়।

সাধারণত, একজন নৈতিক বাগ বাউন্টি হান্টার প্রথমে ডেটা চুরি করবে না এবং এটি প্রকাশ না করার জন্য চুপচাপ অর্থ দাবি করবে, কারণ আজকাল প্রায়শই র্যানসমওয়্যার ক্রুকরা করে। পরিবর্তে, একজন নৈতিক অনুগ্রহ শিকারী সেই পথটি নথিভুক্ত করবে যা তাদের ডেটা এবং নিরাপত্তা দুর্বলতার দিকে নিয়ে যায় যা তাদের এটি অ্যাক্সেস করতে দেয় এবং সম্ভবত একটি খুব ছোট কিন্তু প্রতিনিধিত্বমূলক নমুনা ডাউনলোড করে নিজেদের সন্তুষ্ট করতে যে এটি সত্যিই দূর থেকে উদ্ধারযোগ্য। এইভাবে তারা একটি চাঁদাবাজির হাতিয়ার হিসাবে ব্যবহার করার জন্য প্রথমে ডেটা অর্জন করবে না এবং বাগ বাউন্টি প্রক্রিয়ার অংশ হিসাবে সম্মত যে কোনও সম্ভাব্য প্রকাশ্য প্রকাশ নিরাপত্তা গর্তের প্রকৃতি প্রকাশ করবে, প্রকৃত ডেটা নয় যা ঝুঁকিতে ছিল। (কোম্পানীগুলিকে তাদের নিজস্ব সম্মতির সমস্যাগুলি সমাধান করার জন্য পর্যাপ্ত সময় দেওয়ার জন্য পূর্ব-বিন্যস্ত "প্রকাশ করুন" তারিখগুলি বিদ্যমান, যখন তারা এটির পরিবর্তে কার্পেটের নীচে সমস্যাটি ঝাড়ু দেওয়ার চেষ্টা না করে তা নিশ্চিত করার জন্য একটি সময়সীমা নির্ধারণ করে।)

ভুল বা ঠিক?

Uber-এর লঙ্ঘন-এবং-কভার-আপ নিয়ে হট্টগোল শেষ পর্যন্ত CSO-এর বিরুদ্ধে অভিযোগের দিকে নিয়ে যায় এবং তাকে উপরে উল্লিখিত অপরাধের জন্য অভিযুক্ত করা হয়।

সুলিভানের বিচার, যা মাত্র এক মাসেরও কম স্থায়ী হয়েছিল, গত সপ্তাহের শেষে শেষ হয়েছে।

এই মামলাটি সাইবারসিকিউরিটি সম্প্রদায়ের মধ্যে প্রচুর আগ্রহ আকর্ষণ করেছিল, অন্ততপক্ষে এমন নয় যে অসংখ্য ক্রিপ্টোকারেন্সি কোম্পানি, এমন পরিস্থিতির মুখোমুখি হয়েছিল যেখানে হ্যাকাররা লক্ষ লক্ষ বা কয়েক মিলিয়ন ডলার হাতিয়ে নিয়েছে বলে মনে হচ্ছে ক্রমবর্ধমানভাবে (এবং প্রকাশ্যে) "আসুন লঙ্ঘনের ইতিহাস পুনর্লিখন করি" পথের একটি খুব অনুরূপ অনুসরণ করতে ইচ্ছুক।

"যে টাকা চুরি করেছ তা ফেরত দাও" লুণ্ঠিত ক্রিপ্টোকারেন্সির ব্লকচেইনের মাধ্যমে তারা প্রায়ই মন্তব্যের বিনিময়ে ভিক্ষা করে, “এবং আমরা আপনাকে বাগ বাউন্টি পেমেন্ট হিসাবে একটি বড় পরিমাণ অর্থ রাখতে দেব এবং আইন প্রয়োগকারীকে আপনার পিছনে না রাখার জন্য আমরা যথাসাধ্য চেষ্টা করব।"

যদি এই পদ্ধতিতে লঙ্ঘনের ইতিহাস পুনর্লিখনের চূড়ান্ত পরিণতি হয় যে চুরি করা ডেটা মুছে ফেলা হয়, এইভাবে ক্ষতিগ্রস্থদের যে কোনও তাৎক্ষণিক ক্ষতিকে পাশ কাটিয়ে যায়, বা চুরি করা ক্রিপ্টোকয়েন যা অন্যথায় চিরতরে হারিয়ে যেতে পারে তা ফেরত দেওয়া হয়, শেষটি কি উপায়টিকে সমর্থন করে?

সুলিভানের ক্ষেত্রে, জুরি স্পষ্টতই সিদ্ধান্ত নিয়েছিল, চার দিনের আলোচনার পরে, উত্তরটি ছিল "না", এবং তাকে দোষী সাব্যস্ত করে।

শাস্তির জন্য এখনও কোন তারিখ নির্ধারণ করা হয়নি, এবং আমরা অনুমান করছি যে সুলিভান, যিনি নিজে ফেডারেল প্রসিকিউটর ছিলেন, আপিল করবেন।

এই স্থানটি দেখুন, কারণ এই গল্পটি আরও আকর্ষণীয় বলে মনে হচ্ছে...

---