জো সুলিভান, যিনি 2015 থেকে 2017 সাল পর্যন্ত উবারের চিফ সিকিউরিটি অফিসার ছিলেন, অপরাধী 2016 সালে কোম্পানির একটি ডেটা লঙ্ঘন ধামাচাপা দেওয়ার জন্য একটি মার্কিন ফেডারেল আদালতে।
সুলিভানের বিরুদ্ধে এফটিসি দ্বারা পরিচালিত কার্যক্রমে বাধা দেওয়ার অভিযোগ আনা হয়েছিল ফেডারেল ট্রেড কমিশন, মার্কিন ভোক্তা অধিকার সংস্থা), এবং একটি অপরাধ গোপন করা, একটি অপরাধ যা আইনি পরিভাষায় এর অদ্ভুত নামে পরিচিত misprision.
জুরি তাকে এই দুটি অপরাধের জন্য দোষী সাব্যস্ত করেছে।
We সম্পর্কে প্রথম লিখেছেন 2017 সালের নভেম্বরে এই ব্যাপকভাবে দেখা আদালতের মামলার পিছনে লঙ্ঘন, যখন এটি সম্পর্কে খবরটি প্রাথমিকভাবে উঠে আসে।
স্পষ্টতই, লঙ্ঘনটি একটি হতাশাজনকভাবে পরিচিত "আক্রমণ চেইন" অনুসরণ করেছে:
- উবারে কেউ গিটহাবে সোর্স কোডের একটি গুচ্ছ আপলোড করেছে, কিন্তু দুর্ঘটনাক্রমে একটি ডিরেক্টরি অন্তর্ভুক্ত করা হয়েছে যাতে অ্যাক্সেস শংসাপত্র রয়েছে।
- হ্যাকাররা ফাঁস হওয়া শংসাপত্রগুলিতে হোঁচট খেয়েছে, এবং Amazon-এর ক্লাউডে হোস্ট করা Uber ডেটাতে অ্যাক্সেস এবং খোঁচা দিতে সেগুলি ব্যবহার করে৷
- অ্যামাজন সার্ভারগুলি এইভাবে প্রকাশিত ব্যক্তিগত তথ্য লঙ্ঘন করেছে 50,000,000 এরও বেশি উবার রাইডার এবং 7,000,000 ড্রাইভারের উপর, যার মধ্যে প্রায় 600,000 ড্রাইভারের জন্য ড্রাইভিং লাইসেন্স নম্বর এবং 60,000-এর জন্য সামাজিক নিরাপত্তা নম্বর (SSN) রয়েছে।
হাস্যকরভাবে, এই লঙ্ঘনটি ঘটেছিল যখন Uber 2014 সালে একটি লঙ্ঘনের জন্য FTC তদন্তের মধ্যে ছিল।
আপনি যেমন কল্পনা করতে পারেন, আগের লঙ্ঘনের বিষয়ে নিয়ন্ত্রকের কাছে উত্তর দেওয়ার মাঝখানে থাকাকালীন এবং যখন আপনি কর্তৃপক্ষকে আশ্বস্ত করার চেষ্টা করছেন যে এটি আবার ঘটবে না তখন একটি বিশাল ডেটা লঙ্ঘনের প্রতিবেদন করতে হচ্ছে…
… গ্রাস করা কঠিন বড়ি হতে হয়েছে.
প্রকৃতপক্ষে, 2016 সালের লঙ্ঘনটি 2017 পর্যন্ত চুপচাপ রাখা হয়েছিল, যখন উবারের নতুন ব্যবস্থাপনা ঘটনাটি উন্মোচন করেছিল এবং ঘটনার কথা স্বীকার করেছিল।
তখনই এটি আবির্ভূত হয় যে হ্যাকাররা যারা আগের বছর সেই সমস্ত গ্রাহকের রেকর্ড এবং ড্রাইভারের ডেটা বের করে দিয়েছিল তাদের ডেটা মুছে ফেলার জন্য এবং এটি সম্পর্কে নীরব থাকার জন্য $100,000 প্রদান করা হয়েছিল:
একটি নিয়ন্ত্রক দৃষ্টিকোণ থেকে, অবশ্যই, উবারকে এক বছরেরও বেশি সময় ধরে এটিকে চুপ করে রাখার পরিবর্তে বিশ্বের অনেক বিচারব্যবস্থায় এই লঙ্ঘনের বিষয়ে এখনই রিপোর্ট করা উচিত।
যুক্তরাজ্যে, উদাহরণস্বরূপ, তথ্য কমিশনারের অফিস বিভিন্ন মন্তব্য করেছেন সময়:
গত অক্টোবরে গোপন তথ্য লঙ্ঘন সম্পর্কে উবারের ঘোষণা তার ডেটা সুরক্ষা নীতি এবং নীতিশাস্ত্রের চারপাশে বিশাল উদ্বেগ উত্থাপন করে। [2017-11-22T10:00Z]
ডেটা লঙ্ঘনের অংশ হিসাবে যুক্তরাজ্যের নাগরিকরা কখন প্রভাবিত হয়েছে তা চিহ্নিত করা এবং ভোক্তাদের ক্ষতি কমাতে পদক্ষেপ নেওয়া সর্বদা কোম্পানির দায়িত্ব। ইচ্ছাকৃতভাবে নিয়ন্ত্রক এবং নাগরিকদের কাছ থেকে লঙ্ঘন গোপন করা কোম্পানিগুলির জন্য উচ্চতর জরিমানা আকর্ষণ করতে পারে। [2017-11-22T17:35Z]
Uber নিশ্চিত করেছে যে অক্টোবর 2016-এ তার ডেটা লঙ্ঘন যুক্তরাজ্যে আনুমানিক 2.7 মিলিয়ন ব্যবহারকারীর অ্যাকাউন্টগুলিকে প্রভাবিত করেছে। উবার বলেছে যে লঙ্ঘনের সাথে নাম, মোবাইল ফোন নম্বর এবং ইমেল ঠিকানা জড়িত। [2017-11-29]
নেকেড সিকিউরিটি পাঠকরা অবাক হয়েছিলেন যে কীভাবে $100,000 হ্যাকার পেমেন্ট করা যেতে পারে বিষয়টিকে আরও খারাপ না দেখায়, এবং আমরা জল্পিত:
গল্পটি কীভাবে উন্মোচিত হয় তা দেখতে আকর্ষণীয় হবে - যদি বর্তমান উবার নেতৃত্ব এই পর্যায়ে এটিকে প্রকাশ করতে পারে, অর্থাৎ। আমি মনে করি আপনি "বাগ বাউন্টি পেআউট" হিসাবে $100,000 গুটিয়ে নিতে পারেন, কিন্তু এটি এখনও খুব সুবিধাজনকভাবে নিজের জন্য সিদ্ধান্ত নেওয়ার সমস্যাটি ছেড়ে দেয় যে এটি রিপোর্ট করার প্রয়োজন ছিল না।
মনে হচ্ছে ঠিক তাই ঘটেছে: লঙ্ঘন-যা-আসা-ঠিক-ঠিক-ভুল-সময়-এক-লঙ্ঘন-তদন্তের মাঝখানে-কে একটি "বাগ বাউন্টি" হিসাবে লেখা হয়েছিল, এমন কিছু সাধারণত প্রাথমিক প্রকাশের উপর নির্ভর করে দায়িত্বের সাথে করা, এবং ব্ল্যাকমেইলের দাবির আকারে নয়।
সাধারণত, একজন নৈতিক বাগ বাউন্টি হান্টার প্রথমে ডেটা চুরি করবে না এবং এটি প্রকাশ না করার জন্য চুপচাপ অর্থ দাবি করবে, কারণ আজকাল প্রায়শই র্যানসমওয়্যার ক্রুকরা করে। পরিবর্তে, একজন নৈতিক অনুগ্রহ শিকারী সেই পথটি নথিভুক্ত করবে যা তাদের ডেটা এবং নিরাপত্তা দুর্বলতার দিকে নিয়ে যায় যা তাদের এটি অ্যাক্সেস করতে দেয় এবং সম্ভবত একটি খুব ছোট কিন্তু প্রতিনিধিত্বমূলক নমুনা ডাউনলোড করে নিজেদের সন্তুষ্ট করতে যে এটি সত্যিই দূর থেকে উদ্ধারযোগ্য। এইভাবে তারা একটি চাঁদাবাজির হাতিয়ার হিসাবে ব্যবহার করার জন্য প্রথমে ডেটা অর্জন করবে না এবং বাগ বাউন্টি প্রক্রিয়ার অংশ হিসাবে সম্মত যে কোনও সম্ভাব্য প্রকাশ্য প্রকাশ নিরাপত্তা গর্তের প্রকৃতি প্রকাশ করবে, প্রকৃত ডেটা নয় যা ঝুঁকিতে ছিল। (কোম্পানীগুলিকে তাদের নিজস্ব সম্মতির সমস্যাগুলি সমাধান করার জন্য পর্যাপ্ত সময় দেওয়ার জন্য পূর্ব-বিন্যস্ত "প্রকাশ করুন" তারিখগুলি বিদ্যমান, যখন তারা এটির পরিবর্তে কার্পেটের নীচে সমস্যাটি ঝাড়ু দেওয়ার চেষ্টা না করে তা নিশ্চিত করার জন্য একটি সময়সীমা নির্ধারণ করে।)
ভুল বা ঠিক?
Uber-এর লঙ্ঘন-এবং-কভার-আপ নিয়ে হট্টগোল শেষ পর্যন্ত CSO-এর বিরুদ্ধে অভিযোগের দিকে নিয়ে যায় এবং তাকে উপরে উল্লিখিত অপরাধের জন্য অভিযুক্ত করা হয়।
সুলিভানের বিচার, যা মাত্র এক মাসেরও কম স্থায়ী হয়েছিল, গত সপ্তাহের শেষে শেষ হয়েছে।
এই মামলাটি সাইবারসিকিউরিটি সম্প্রদায়ের মধ্যে প্রচুর আগ্রহ আকর্ষণ করেছিল, অন্ততপক্ষে এমন নয় যে অসংখ্য ক্রিপ্টোকারেন্সি কোম্পানি, এমন পরিস্থিতির মুখোমুখি হয়েছিল যেখানে হ্যাকাররা লক্ষ লক্ষ বা কয়েক মিলিয়ন ডলার হাতিয়ে নিয়েছে বলে মনে হচ্ছে ক্রমবর্ধমানভাবে (এবং প্রকাশ্যে) "আসুন লঙ্ঘনের ইতিহাস পুনর্লিখন করি" পথের একটি খুব অনুরূপ অনুসরণ করতে ইচ্ছুক।
"যে টাকা চুরি করেছ তা ফেরত দাও" লুণ্ঠিত ক্রিপ্টোকারেন্সির ব্লকচেইনের মাধ্যমে তারা প্রায়ই মন্তব্যের বিনিময়ে ভিক্ষা করে, “এবং আমরা আপনাকে বাগ বাউন্টি পেমেন্ট হিসাবে একটি বড় পরিমাণ অর্থ রাখতে দেব এবং আইন প্রয়োগকারীকে আপনার পিছনে না রাখার জন্য আমরা যথাসাধ্য চেষ্টা করব।"
যদি এই পদ্ধতিতে লঙ্ঘনের ইতিহাস পুনর্লিখনের চূড়ান্ত পরিণতি হয় যে চুরি করা ডেটা মুছে ফেলা হয়, এইভাবে ক্ষতিগ্রস্থদের যে কোনও তাৎক্ষণিক ক্ষতিকে পাশ কাটিয়ে যায়, বা চুরি করা ক্রিপ্টোকয়েন যা অন্যথায় চিরতরে হারিয়ে যেতে পারে তা ফেরত দেওয়া হয়, শেষটি কি উপায়টিকে সমর্থন করে?
সুলিভানের ক্ষেত্রে, জুরি স্পষ্টতই সিদ্ধান্ত নিয়েছিল, চার দিনের আলোচনার পরে, উত্তরটি ছিল "না", এবং তাকে দোষী সাব্যস্ত করে।
শাস্তির জন্য এখনও কোন তারিখ নির্ধারণ করা হয়নি, এবং আমরা অনুমান করছি যে সুলিভান, যিনি নিজে ফেডারেল প্রসিকিউটর ছিলেন, আপিল করবেন।
এই স্থানটি দেখুন, কারণ এই গল্পটি আরও আকর্ষণীয় বলে মনে হচ্ছে...
- blockchain
- coingenius
- cryptocurrency মানিব্যাগ
- ক্রিপ্টোএক্সচেঞ্জ
- সাইবার নিরাপত্তা
- cybercriminals
- সাইবার নিরাপত্তা
- তথ্য হারানোর
- হোমল্যান্ড সিকিউরিটি ডিপার্টমেন্ট
- ডিজিটাল ওয়ালেট
- ফায়ারওয়াল
- জিডিপিআর সম্মতি
- Kaspersky
- ম্যালওয়্যার
- এমকাফি
- নগ্ন সুরক্ষা
- নেক্সব্লক
- Plato
- প্লেটো এআই
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটো গেম
- প্লেটোডাটা
- প্লেটোগেমিং
- গোপনীয়তা
- সুলিভান
- উবার
- ভিপিএন
- ওয়েবসাইট নিরাপত্তা
- zephyrnet