Joe Sullivan, der von 2015 bis 2017 Chief Security Officer bei Uber war, war es verurteilt vor einem US-Bundesgericht wegen Vertuschung einer Datenschutzverletzung im Unternehmen im Jahr 2016.
Sullivan wurde beschuldigt, Verfahren der FTC (the Federal Trade Commission, die US-Verbraucherrechtsbehörde), und das Verschleiern eines Verbrechens, einer Straftat, die in der juristischen Terminologie unter dem eigentümlichen Namen von bekannt ist Irrtum.
Die Geschworenen befanden ihn beider Vergehen für schuldig.
We zuerst darüber geschrieben der Verstoß hinter diesem weithin beobachteten Gerichtsverfahren im November 2017, als Nachrichten darüber ursprünglich auftauchten.
Anscheinend folgte die Verletzung einer enttäuschend bekannten „Angriffskette“:
- Jemand bei Uber hat eine Menge Quellcode auf GitHub hochgeladen, aber versehentlich ein Verzeichnis enthalten, das Zugangsdaten enthielt.
- Hacker stießen auf die durchgesickerten Zugangsdaten, und benutzte sie, um auf Uber-Daten zuzugreifen und darin herumzustöbern, die in der Cloud von Amazon gehostet werden.
- Die auf diese Weise verletzten Amazon-Server offenbarten persönliche Informationen auf mehr als 50,000,000 Uber-Fahrern und 7,000,000 Fahrern, einschließlich Führerscheinnummern für etwa 600,000 Fahrer und Sozialversicherungsnummern (SSNs) für 60,000.
Ironischerweise ereignete sich dieser Verstoß, während Uber sich mitten in einer FTC-Untersuchung zu einem Verstoß befand, den es 2014 erlitten hatte.
Wie Sie sich vorstellen können, müssen Sie einen massiven Datenverstoß melden, während Sie gerade dabei sind, der Aufsichtsbehörde über einen früheren Verstoß zu antworten, und während Sie versuchen, den Behörden zu versichern, dass es nicht wieder vorkommen wird …
…muss schwer zu schlucken sein.
Tatsächlich wurde der Verstoß von 2016 bis 2017 verschwiegen, als das neue Management bei Uber die Geschichte aufdeckte und den Vorfall zugab.
Zu diesem Zeitpunkt stellte sich heraus, dass die Hacker, die all diese Kundendatensätze und Fahrerdaten im Jahr zuvor exfiltriert hatten, 100,000 Dollar dafür bezahlt bekamen, die Daten zu löschen und darüber Stillschweigen zu bewahren:
Aus regulatorischer Sicht hätte Uber diesen Verstoß natürlich in vielen Gerichtsbarkeiten auf der ganzen Welt sofort melden sollen, anstatt ihn länger als ein Jahr zu vertuschen.
In Großbritannien beispielsweise das Information Commissioner's Office unterschiedlich kommentiert damals:
Die Ankündigung von Uber über eine verdeckte Datenschutzverletzung im vergangenen Oktober wirft große Bedenken hinsichtlich seiner Datenschutzrichtlinien und -ethik auf. [2017-11-22T10:00Z]
Es liegt immer in der Verantwortung des Unternehmens, festzustellen, wenn britische Bürger von einer Datenschutzverletzung betroffen sind, und Maßnahmen zu ergreifen, um den Schaden für die Verbraucher zu verringern. Das bewusste Verschweigen von Verstößen vor Aufsichtsbehörden und Bürgern könnte höhere Bußgelder für Unternehmen nach sich ziehen. [2017-11-22T17:35Z]
Uber hat seine Datenschutzverletzung im Oktober 2016 bestätigt, von der etwa 2.7 Millionen Benutzerkonten in Großbritannien betroffen waren. Laut Uber handelte es sich bei dem Verstoß um Namen, Handynummern und E-Mail-Adressen. [2017-11-29]
Naked Security-Leser fragten sich, wie diese Hackerzahlung in Höhe von 100,000 US-Dollar hätte erfolgen können, ohne die Sache noch schlimmer aussehen zu lassen, und wir Spekuliert:
Es wird interessant sein zu sehen, wie sich die Geschichte entwickelt – das heißt, wenn die derzeitige Uber-Führung sie in diesem Stadium entfalten kann. Ich nehme an, Sie könnten die 100,000 Dollar als „Bug-Bounty-Auszahlung“ verpacken, aber das lässt immer noch das Problem, ganz bequem selbst zu entscheiden, dass es nicht notwendig ist, es zu melden.
Es scheint, dass genau das passiert ist: Die Sicherheitsverletzung, die genau zum falschen Zeitpunkt in der Mitte einer Sicherheitsverletzung stattfand, wurde als „Bug Bounty“ geschrieben, etwas, das hängt in der Regel davon ab, dass die anfängliche Offenlegung verantwortungsvoll erfolgt und nicht in Form einer Erpressungsforderung.
Typischerweise würde ein ethischer Bug-Bounty-Jäger die Daten nicht zuerst stehlen und Schweigegeld verlangen, um sie nicht zu veröffentlichen, wie es Ransomware-Gauner heutzutage oft tun. Stattdessen würde ein ethischer Kopfgeldjäger den Weg, der ihn zu den Daten führte, und die Sicherheitslücken, die ihm den Zugriff ermöglichten, dokumentieren und vielleicht eine sehr kleine, aber repräsentative Stichprobe herunterladen, um sich zu vergewissern, dass sie tatsächlich aus der Ferne abrufbar war. Daher würden sie die Daten erst gar nicht erwerben, um sie als Erpressungsinstrument zu verwenden, und jede potenzielle öffentliche Offenlegung, die im Rahmen des Bug-Bounty-Prozesses vereinbart wurde, würde die Art der Sicherheitslücke aufdecken, nicht die tatsächlichen Daten, die gefährdet waren. (Es gibt vorab vereinbarte Offenlegungstermine, um Unternehmen genügend Zeit zu geben, die Probleme von sich aus zu beheben, und gleichzeitig eine Frist festzulegen, um sicherzustellen, dass sie nicht versuchen, das Problem stattdessen unter den Teppich zu kehren.)
Richtig oder falsch?
Die Aufregung um Ubers Einbruch und Vertuschung führte schließlich zu Anschuldigungen gegen den CSO selbst, und er wurde wegen der oben genannten Verbrechen angeklagt.
Sullivans Prozess, der knapp einen Monat dauerte, endete Ende letzter Woche.
Der Fall stieß in der Cybersecurity-Community auf großes Interesse, nicht zuletzt, weil zahlreiche Kryptowährungsunternehmen mit Situationen konfrontiert zu sein scheinen, in denen Hacker mit Millionen oder Hunderten Millionen Dollar davongekommen sind zunehmend (und öffentlich), die bereit sind, einem sehr ähnlichen Weg zu folgen: „Lasst uns die Geschichte der Datenschutzverletzungen neu schreiben“.
„Gib das gestohlene Geld zurück“ sie betteln, oft in einem Austausch von Kommentaren über die Blockchain der geplünderten Kryptowährung, „und wir lassen Sie eine beträchtliche Menge des Geldes als Bug-Bounty-Zahlung behalten, und wir werden unser Bestes tun, um die Strafverfolgung von Ihrem Rücken fernzuhalten.
Wenn das Endergebnis des Umschreibens der Geschichte von Sicherheitsverletzungen auf diese Weise darin besteht, dass gestohlene Daten gelöscht werden, wodurch ein unmittelbarer Schaden für die Opfer vermieden wird, oder dass gestohlene Kryptocoins, die andernfalls für immer verloren wären, zurückgegeben werden, heiligt der Zweck dann die Mittel?
In Sullivans Fall entschied die Jury offenbar nach viertägiger Beratung, dass die Antwort „Nein“ lautete, und befand ihn für schuldig.
Es wurde noch kein Datum für die Verurteilung festgelegt, und wir gehen davon aus, dass Sullivan, der selbst früher Bundesanwalt war, Berufung einlegen wird.
Sehen Sie sich diesen Bereich an, denn diese Saga scheint sicher noch interessanter zu werden …
- Blockchain
- Einfallsreichtum
- Cryptocurrency Brieftaschen
- Kryptoaustausch
- Internet-Sicherheit
- Cyber-Kriminelle
- Internet-Sicherheit
- Data Loss
- Heimatschutzministerium
- digitale Brieftaschen
- Firewall
- (DSGVO) Datenschutzgrundverordnung konform
- Kaspersky
- Malware
- McAfee
- Nackte Sicherheit
- NexBLOC
- Plato
- platon ai
- Datenintelligenz von Plato
- Plato-Spiel
- PlatoData
- Platogaming
- Datenschutz
- Sullivan
- Uber
- VPN
- Website-Sicherheit
- Zephyrnet
