Ο Τζο Σάλιβαν, ο οποίος ήταν Διευθυντής Ασφαλείας στην Uber από το 2015 έως το 2017, ήταν καταδικασθεί σε ομοσπονδιακό δικαστήριο των ΗΠΑ για κάλυψη μιας παραβίασης δεδομένων στην εταιρεία το 2016.
Ο Sullivan κατηγορήθηκε για παρεμπόδιση των διαδικασιών που διεξήγαγε η FTC (η Ομοσπονδιακή Επιτροπή Εμπορίου, ο οργανισμός για τα δικαιώματα των καταναλωτών των ΗΠΑ), και η απόκρυψη ενός εγκλήματος, ένα αδίκημα γνωστό στη νομική ορολογία με το περίεργο όνομα κακοποίηση.
Το δικαστήριο τον έκρινε ένοχο και για τα δύο αυτά αδικήματα.
We έγραψε πρώτα για η παραβίαση πίσω από αυτήν την ευρέως παρακολούθηση δικαστική υπόθεση τον Νοέμβριο του 2017, όταν προέκυψαν αρχικά νέα σχετικά.
Προφανώς, η παραβίαση ακολούθησε μια απογοητευτικά γνωστή «αλυσίδα επίθεσης»:
- Κάποιος στην Uber ανέβασε ένα σωρό πηγαίο κώδικα στο GitHub, αλλά συμπεριέλαβε κατά λάθος έναν κατάλογο που περιείχε διαπιστευτήρια πρόσβασης.
- Οι χάκερ έπεσαν πάνω στα διαπιστευτήρια που διέρρευσαν, και τα χρησιμοποίησε για πρόσβαση και περιήγηση σε δεδομένα της Uber που φιλοξενούνται στο cloud της Amazon.
- Οι διακομιστές της Amazon παραβίασαν έτσι αποκαλυπτόμενες προσωπικές πληροφορίες σε περισσότερους από 50,000,000 αναβάτες Uber και 7,000,000 οδηγούς, συμπεριλαμβανομένων των αριθμών αδειών οδήγησης για περίπου 600,000 οδηγούς και των αριθμών κοινωνικής ασφάλισης (SSN) για 60,000.
Κατά ειρωνικό τρόπο, αυτή η παραβίαση συνέβη ενώ η Uber βρισκόταν στη δίνη μιας έρευνας της FTC για μια παραβίαση που είχε υποστεί το 2014.
Όπως μπορείτε να φανταστείτε, πρέπει να αναφέρετε μια τεράστια παραβίαση δεδομένων ενώ είστε στη μέση της απάντησης στη ρυθμιστική αρχή για μια προηγούμενη παραβίαση και ενώ προσπαθείτε να καθησυχάσετε τις αρχές ότι δεν θα συμβεί ξανά…
…πρέπει να είναι δύσκολο να το καταπιείς.
Πράγματι, η παραβίαση του 2016 κρατήθηκε σιωπηλή μέχρι το 2017, όταν η νέα διοίκηση της Uber αποκάλυψε την ιστορία και παραδέχτηκε το περιστατικό.
Τότε ήταν που προέκυψε ότι οι χάκερ που διέφυγαν όλα αυτά τα αρχεία πελατών και τα δεδομένα προγραμμάτων οδήγησης το προηγούμενο έτος πληρώθηκαν 100,000 $ για να διαγράψουν τα δεδομένα και να σιωπήσουν σχετικά:
Από ρυθμιστικής άποψης, φυσικά, η Uber θα έπρεπε να έχει αναφέρει αυτήν την παραβίαση αμέσως σε πολλές δικαιοδοσίες σε όλο τον κόσμο, αντί να την αποσιωπήσει για περισσότερο από ένα χρόνο.
Στο Ηνωμένο Βασίλειο, για παράδειγμα, το Γραφείο του Επιτρόπου Πληροφοριών σχολιάζονται ποικίλα τότε:
Η ανακοίνωση της Uber για μια κρυφή παραβίαση δεδομένων τον περασμένο Οκτώβριο εγείρει τεράστιες ανησυχίες σχετικά με τις πολιτικές προστασίας δεδομένων και τη δεοντολογία της. [2017-11-22T10:00Z]
Είναι πάντα ευθύνη της εταιρείας να εντοπίζει πότε οι πολίτες του Ηνωμένου Βασιλείου έχουν πληγεί ως μέρος παραβίασης δεδομένων και να λαμβάνει μέτρα για τη μείωση τυχόν βλάβης στους καταναλωτές. Η σκόπιμη απόκρυψη παραβιάσεων από ρυθμιστικές αρχές και πολίτες θα μπορούσε να επισύρει υψηλότερα πρόστιμα για τις εταιρείες. [2017-11-22T17:35Z]
Η Uber επιβεβαίωσε ότι η παραβίαση δεδομένων της τον Οκτώβριο του 2016 επηρέασε περίπου 2.7 εκατομμύρια λογαριασμούς χρηστών στο Ηνωμένο Βασίλειο. Η Uber είπε ότι η παραβίαση αφορούσε ονόματα, αριθμούς κινητών τηλεφώνων και διευθύνσεις email. [2017-11-29]
Οι αναγνώστες του Naked Security αναρωτήθηκαν πώς θα μπορούσε να είχε γίνει αυτή η πληρωμή χάκερ των 100,000 δολαρίων χωρίς να κάνει τα πράγματα να φαίνονται ακόμη χειρότερα, και εμείς εικάζεται:
Θα είναι ενδιαφέρον να δούμε πώς θα εξελιχθεί η ιστορία – αν η τρέχουσα ηγεσία της Uber μπορεί να την ξεδιπλώσει σε αυτό το στάδιο, δηλαδή. Υποθέτω ότι θα μπορούσατε να τυλίξετε τα 100,000 $ ως μια "πληρωμή bounty bug", αλλά αυτό εξακολουθεί να αφήνει το ζήτημα να αποφασίσετε πολύ εύκολα μόνοι σας ότι δεν ήταν απαραίτητο να το αναφέρετε.
Φαίνεται ότι αυτό ακριβώς συνέβη: η παραβίαση που ήρθε-ακριβώς-ακριβώς-τη-λάθος-χρόνια-στα-μέσα-της-παραβίασης-έρευνα γράφτηκε ως «δωρεά σφάλματος», κάτι που Συνήθως εξαρτάται από το ότι η αρχική αποκάλυψη γίνεται υπεύθυνα και όχι με τη μορφή απαίτησης εκβιασμού.
Συνήθως, ένας ηθικός κυνηγός επικηρυγμένων σφαλμάτων δεν θα έκλεβε πρώτα τα δεδομένα και θα απαιτούσε χρήματα για να μην τα δημοσιεύσει, όπως κάνουν συχνά οι απατεώνες ransomware αυτές τις μέρες. Αντίθετα, ένας ηθικός κυνηγός επικηρυγμένων θα τεκμηριώσει τη διαδρομή που τους οδήγησε στα δεδομένα και τις αδυναμίες ασφάλειας που τους επέτρεπαν να έχουν πρόσβαση σε αυτά και ίσως να κατεβάσει ένα πολύ μικρό αλλά αντιπροσωπευτικό δείγμα για να βεβαιωθεί ότι ήταν πράγματι ανακτήσιμο από απόσταση. Επομένως, δεν θα αποκτούσαν τα δεδομένα εξαρχής για να τα χρησιμοποιήσουν ως εργαλείο εκβιασμού και οποιαδήποτε πιθανή δημόσια αποκάλυψη συμφωνηθεί ως μέρος της διαδικασίας επιβράβευσης σφαλμάτων θα αποκάλυπτε τη φύση του κενού ασφαλείας και όχι τα πραγματικά δεδομένα που κινδύνευαν. (Υπάρχουν προκαθορισμένες ημερομηνίες «αποκάλυψης έως» για να δίνεται στις εταιρείες αρκετός χρόνος για να επιλύσουν τα προβλήματα με δική τους βούληση, ενώ τίθεται προθεσμία για να διασφαλιστεί ότι δεν θα προσπαθήσουν να σαρώσουν το ζήτημα κάτω από το χαλί.)
Σωστό ή λάθος?
Η φασαρία για την παραβίαση και τη συγκάλυψη της Uber οδήγησε τελικά σε κατηγορίες εναντίον του ίδιου του CSO και κατηγορήθηκε για τα προαναφερθέντα εγκλήματα.
Η δίκη του Sullivan, η οποία διήρκεσε λίγο λιγότερο από ένα μήνα, ολοκληρώθηκε στα τέλη της περασμένης εβδομάδας.
Η υπόθεση προσέλκυσε άφθονο ενδιαφέρον στην κοινότητα της κυβερνοασφάλειας, κυρίως επειδή πολλές εταιρείες κρυπτονομισμάτων, που αντιμετώπισαν καταστάσεις όπου οι χάκερ έχουν ξεφύγει με εκατομμύρια ή εκατοντάδες εκατομμύρια δολάρια, φαίνεται όλο και περισσότερο (και δημοσίως) πρόθυμοι να ακολουθήσουν ένα πολύ παρόμοιο μονοπάτι "ας ξαναγράψουμε το ιστορικό παραβίασης".
«Δώστε πίσω τα χρήματα που έκλεψες» εκλιπαρούν, συχνά σε μια ανταλλαγή σχολίων μέσω του blockchain του λεηλατημένου κρυπτονομίσματος, "και θα σας επιτρέψουμε να κρατήσετε μια σημαντική ποσότητα των χρημάτων ως πληρωμή επιβράβευσης σφαλμάτων και θα κάνουμε ό,τι καλύτερο μπορούμε για να κρατήσουμε την επιβολή του νόμου μακριά σας».
Εάν το τελικό αποτέλεσμα της επανεγγραφής του ιστορικού παραβίασης με αυτόν τον τρόπο είναι ότι τα κλεμμένα δεδομένα διαγράφονται, παρακάμπτοντας έτσι οποιαδήποτε άμεση βλάβη στα θύματα ή ότι τα κλεμμένα κρυπτονομίσματα που διαφορετικά θα χάνονταν για πάντα επιστρέφονται, ο σκοπός δικαιολογεί τα μέσα;
Στην περίπτωση του Sullivan, η κριτική επιτροπή προφανώς αποφάσισε, μετά από τέσσερις ημέρες διαβούλευσης, ότι η απάντηση ήταν «Όχι» και τον έκρινε ένοχο.
Δεν έχει οριστεί ακόμη ημερομηνία για την καταδίκη και υποθέτουμε ότι ο Σάλιβαν, ο οποίος ήταν ο ίδιος ομοσπονδιακός εισαγγελέας, θα ασκήσει έφεση.
Παρακολουθήστε αυτόν τον χώρο, γιατί αυτό το έπος φαίνεται σίγουρο ότι θα γίνει ακόμα πιο ενδιαφέρον…
- blockchain
- Coingenius
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Απώλεια δεδομένων
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Συμφωνία GDPR
- Kaspersky
- malware
- Mcafee
- Γυμνή ασφάλεια
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- μυστικότητα
- Sullivan
- Uber
- VPN
- ιστοσελίδα της ασφάλειας
- zephyrnet
