Joe Sullivan, quien fue director de seguridad en Uber de 2015 a 2017, ha sido condenado en un tribunal federal de EE. UU. por encubrir una violación de datos en la empresa en 2016.
Sullivan fue acusado de obstruir los procedimientos llevados a cabo por la FTC (la Comisión Federal de Comercio, el organismo de defensa de los derechos del consumidor de EE. UU.), y encubrir un delito, delito conocido en la terminología jurídica con el peculiar nombre de error.
El jurado lo encontró culpable de ambos delitos.
We escribió por primera vez sobre la brecha detrás de este caso judicial ampliamente visto en noviembre de 2017, cuando surgieron originalmente las noticias al respecto.
Aparentemente, la violación siguió una "cadena de ataque" decepcionantemente familiar:
- Alguien en Uber subió un montón de código fuente a GitHub, pero accidentalmente incluyó un directorio que contenía credenciales de acceso.
- Los piratas informáticos tropezaron con las credenciales filtradas, y los usó para acceder y hurgar en los datos de Uber alojados en la nube de Amazon.
- Los servidores de Amazon así violados revelaron información personal en más de 50,000,000 7,000,000 600,000 de usuarios de Uber y 60,000 XNUMX XNUMX de conductores, incluidos los números de licencia de conducir de unos XNUMX XNUMX conductores y los números de seguro social (SSN) de XNUMX XNUMX.
Irónicamente, esta violación ocurrió mientras Uber estaba en medio de una investigación de la FTC sobre una violación que había sufrido en 2014.
Como puede imaginar, tener que reportar una violación masiva de datos mientras está respondiendo al regulador sobre una violación anterior, y mientras intenta asegurarles a las autoridades que no volverá a suceder...
… tiene que ser una pastilla difícil de tragar.
De hecho, la violación de 2016 se mantuvo en silencio hasta 2017, cuando la nueva gerencia de Uber descubrió la historia y admitió el incidente.
Fue entonces cuando se supo que a los piratas informáticos que extrajeron todos esos registros de clientes y datos de conductores el año anterior se les pagó $ 100,000 para eliminar los datos y guardar silencio al respecto:
Por supuesto, desde un punto de vista regulatorio, Uber debería haber informado esta infracción de inmediato en muchas jurisdicciones de todo el mundo, en lugar de silenciarla durante más de un año.
En el Reino Unido, por ejemplo, la Oficina del Comisionado de Información comentado de diversas formas en el momento:
El anuncio de Uber sobre una violación de datos oculta en octubre pasado genera una gran preocupación en torno a sus políticas y ética de protección de datos. [2017-11-22T10:00Z]
Siempre es responsabilidad de la empresa identificar cuándo los ciudadanos del Reino Unido se han visto afectados como parte de una violación de datos y tomar medidas para reducir cualquier daño a los consumidores. Ocultar deliberadamente las infracciones a los reguladores y ciudadanos podría generar multas más altas para las empresas. [2017-11-22T17:35Z]
Uber ha confirmado que su violación de datos en octubre de 2016 afectó a aproximadamente 2.7 millones de cuentas de usuarios en el Reino Unido. Uber ha dicho que la violación involucró nombres, números de teléfonos móviles y direcciones de correo electrónico. [2017-11-29]
Los lectores de Naked Security se preguntaron cómo se podría haber hecho ese pago de $ 100,000 al hacker sin hacer que las cosas se vean aún peor, y nosotros Especulado:
Será interesante ver cómo se desarrolla la historia, es decir, si el liderazgo actual de Uber puede desarrollarla en esta etapa. Supongo que podría envolver los $ 100,000 como un "pago de recompensa por errores", pero eso aún deja el problema de decidir muy convenientemente por sí mismo que no era necesario informarlo.
Parece que eso es exactamente lo que sucedió: la investigación de la violación que se produjo exactamente en el momento equivocado en medio de una investigación fue escrita como una "recompensa por errores", algo que por lo general, depende de que la divulgación inicial se haga de manera responsable y no en forma de demanda de chantaje.
Por lo general, un cazarrecompensas de errores ético no robaría los datos primero y exigiría dinero para no publicarlos, como suelen hacer los delincuentes de ransomware en estos días. En cambio, un cazarrecompensas ético documentaría el camino que los condujo a los datos y las debilidades de seguridad que les permitieron acceder a ellos, y tal vez descargarían una muestra muy pequeña pero representativa para asegurarse de que era realmente recuperable de forma remota. Por lo tanto, en primer lugar, no adquirirían los datos para usarlos como una herramienta de extorsión, y cualquier divulgación pública potencial acordada como parte del proceso de recompensa por errores revelaría la naturaleza del agujero de seguridad, no los datos reales que habían estado en riesgo. (Existen fechas preestablecidas de "divulgación antes de" para dar a las empresas suficiente tiempo para solucionar los problemas por su propia cuenta, al tiempo que se establece una fecha límite para garantizar que no traten de esconder el problema debajo de la alfombra).
¿Bien o mal?
El alboroto por la violación y el encubrimiento de Uber finalmente condujo a acusaciones contra el propio CSO, y fue acusado de los delitos mencionados anteriormente.
El juicio de Sullivan, que duró poco menos de un mes, concluyó a fines de la semana pasada.
El caso atrajo mucho interés en la comunidad de ciberseguridad, sobre todo porque numerosas empresas de criptomonedas, que se enfrentan a situaciones en las que los piratas informáticos se han llevado millones o cientos de millones de dólares, parecen cada vez más (y en público) dispuesto a seguir un camino muy similar de "reescribamos el historial de brechas".
“Devuélvanme el dinero que robaron” suplican, a menudo en un intercambio de comentarios a través de la cadena de bloques de la criptomoneda saqueada, “y le dejaremos quedarse con una cantidad considerable del dinero como pago de recompensa por errores, y haremos todo lo posible para mantener a la policía fuera de su espalda”.
Si el resultado final de reescribir el historial de infracciones de esta manera es que se eliminan los datos robados, evitando así cualquier daño inmediato a las víctimas, o que se devuelven las criptomonedas robadas que de otro modo se perderían para siempre, ¿el fin justifica los medios?
En el caso de Sullivan, el jurado aparentemente decidió, después de cuatro días de deliberación, que la respuesta era “No”, y lo declaró culpable.
Aún no se ha fijado una fecha para la sentencia, y suponemos que Sullivan, quien solía ser fiscal federal, apelará.
Vigila este espacio, porque seguro que esta saga se pondrá aún más interesante…
- blockchain
- Coingenius
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- De pérdida de datos
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Cumplimiento GDPR
- Kaspersky
- el malware
- Mcafee
- Seguridad desnuda
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- política de privacidad
- Sullivan
- Uber
- VPN
- seguridad del sitio web
- zephyrnet
