Tidligere Uber CSO dømt for at dække over megaovertrædelse tilbage i 2016

Joe Sullivan, der var Chief Security Officer hos Uber fra 2015 til 2017, har været dømt i en amerikansk føderal domstol for at dække over et databrud i virksomheden i 2016.

Sullivan blev anklaget for at have forhindret retssager ført af FTC (den Federal Trade Commission, det amerikanske forbrugerrettighedsorgan), og at skjule en forbrydelse, en lovovertrædelse kendt i juridisk terminologi under det besynderlige navn misfængsel.

Juryen fandt ham skyldig i begge disse lovovertrædelser.

We først skrev om bruddet bag denne meget overvågede retssag tilbage i november 2017, da nyheder om den oprindeligt dukkede op.

Tilsyneladende fulgte bruddet efter en skuffende velkendt "angrebskæde":

• Nogen hos Uber uploadede en masse kildekode til GitHub, men ved et uheld inkluderede en mappe, der indeholdt adgangsoplysninger.
• Hackere faldt over de lækkede legitimationsoplysninger, og brugte dem til at få adgang til og søge rundt i Uber-data hostet i Amazons sky.
• De således brudte Amazon-servere afslørede personlige oplysninger på mere end 50,000,000 Uber-ryttere og 7,000,000 chauffører, inklusive kørekortnumre for omkring 600,000 chauffører og CPR-numre (SSN'er) for 60,000.

Ironisk nok skete dette brud, mens Uber var i gang med en FTC-undersøgelse af et brud, det havde lidt i 2014.

Som du kan forestille dig, at skulle rapportere et massivt databrud, mens du er midt i at svare til regulatoren om et tidligere brud, og mens du forsøger at forsikre myndighederne om, at det ikke vil ske igen...

… det må være en svær pille at sluge.

Faktisk blev bruddet i 2016 holdt stille indtil 2017, hvor den nye ledelse hos Uber afslørede historien og indrømmede hændelsen.

Det var da det kom frem, at de hackere, der eksfiltrerede alle disse kunderegistre og chaufførdata året før, blev betalt $100,000 for at slette dataene og tie om dem:

Fra et lovgivningsmæssigt synspunkt burde Uber selvfølgelig have rapporteret dette brud med det samme i mange jurisdiktioner rundt om i verden, i stedet for at tysse på det i mere end et år.

I Storbritannien f.eks. Information Commissioner's Office forskelligt kommenteret på det tidspunkt:

Ubers meddelelse om et skjult databrud sidste oktober giver anledning til store bekymringer omkring dets databeskyttelsespolitikker og etik. [2017-11-22T10:00Z]

Det er altid virksomhedens ansvar at identificere, hvornår britiske borgere er blevet berørt som en del af et databrud og tage skridt til at reducere enhver skade på forbrugerne. Bevidst at skjule overtrædelser fra regulatorer og borgere kan tiltrække højere bøder til virksomheder. [2017-11-22T17:35Z]

Uber har bekræftet, at deres databrud i oktober 2016 påvirkede cirka 2.7 millioner brugerkonti i Storbritannien. Uber har sagt, at bruddet involverede navne, mobiltelefonnumre og e-mailadresser. [2017-11-29]

Naked Security-læsere undrede sig over, hvordan den hackerbetaling på $100,000 kunne være foretaget uden at få tingene til at se endnu værre ud, og vi spekuleret:

Det bliver interessant at se, hvordan historien udvikler sig – hvis den nuværende Uber-ledelse kan udfolde den på dette tidspunkt, altså. Jeg formoder, at du kunne pakke de 100,000 $ ind som en "bug bounty-udbetaling", men det efterlader stadig spørgsmålet om meget bekvemt selv at beslutte, at det ikke var nødvendigt at rapportere det.

Det ser ud til, at det er præcis, hvad der skete: bruddet-der-kom-på-præcis-det-forkerte-tidspunkt-midt-i-en-brud-undersøgelse blev skrevet op som en "bug bounty", noget der afhænger normalt af, at den indledende offentliggørelse sker ansvarligt og ikke i form af et afpresningskrav.

Typisk ville en dusørjæger af etiske fejl ikke stjæle dataene først og kræve stille penge for ikke at offentliggøre dem, som ransomware-skurke ofte gør i disse dage. I stedet ville en etisk dusørjæger dokumentere vejen, der førte dem til dataene og sikkerhedssvaghederne, der gjorde det muligt for dem at få adgang til dem, og måske downloade en meget lille, men repræsentativ prøve for at sikre sig, at den faktisk var eksternt genfindelig. De ville således ikke erhverve dataene i første omgang for at bruge dem som et afpresningsværktøj, og enhver potentiel offentlig offentliggørelse, der blev aftalt som en del af bug bounty-processen, ville afsløre arten af ​​sikkerhedshullet, ikke de faktiske data, der havde været i fare. (Forudaftalte "oplys senest"-datoer findes for at give virksomheder nok tid til at løse problemerne af egen drift, samtidig med at de sætter en deadline for at sikre, at de ikke forsøger at feje problemet under gulvtæppet i stedet.)

Rigtigt eller forkert?

Balladen om Ubers brud og tilsløring førte til sidst til anklager mod CSO selv, og han blev anklaget for de ovennævnte forbrydelser.

Sullivans retssag, der varede knap en måned, sluttede i slutningen af ​​sidste uge.

Sagen tiltrak masser af interesse i cybersikkerhedssamfundet, ikke mindst fordi adskillige kryptovalutavirksomheder, der står over for situationer, hvor hackere er kommet af sted med millioner eller hundreder af millioner af dollars, synes at stigende (Og offentligt) villig til at følge en meget lignende form for "lad os omskrive brudhistorie"-sti.

"Giv pengene tilbage, som du stjal," de tigger, ofte i en udveksling af kommentarer via blockchain af den plyndrede kryptovaluta, "og vi lader dig beholde en betragtelig mængde af pengene som en fejludbetaling, og vi vil gøre vores bedste for at holde ordenshåndhævelsen væk fra dig."

Hvis det endelige resultat af omskrivning af brudhistorien på denne måde er, at stjålne data bliver slettet, og dermed omgås enhver umiddelbar skade på ofrene, eller at stjålne kryptomønter, der ellers ville gå tabt for altid, bliver returneret, retfærdiggør målet så midlerne?

I Sullivans tilfælde besluttede juryen tilsyneladende, efter fire dages overvejelse, at svaret var "Nej", og fandt ham skyldig.

Der er endnu ikke sat nogen dato for domsafsigelsen, og vi gætter på, at Sullivan, som selv plejede at være en føderal anklager, vil appellere.

Hold øje med dette rum, for denne saga ser ud til at blive endnu mere interessant...

---