Endine Uberi CSO mõisteti süüdi 2016. aastal megalakke varjamises

Joe Sullivan, kes oli Uberi turvajuht aastatel 2015–2017, on olnud süüdi mõistetud USA föderaalkohtus 2016. aastal ettevõttes toimunud andmete rikkumise varjamise eest.

Sullivanile esitati süüdistus FTC menetluse takistamises ( Federal Trade Commission, USA tarbijaõiguste organ) ja kuriteo varjamine, mis on õigusterminoloogias tuntud omapärase nimega väärvangistamine.

Vandekohus tunnistas ta mõlemas kuriteos süüdi.

We kirjutas esmakordselt rikkumine selle laialdaselt vaadatud kohtuasja taga 2017. aasta novembris, kui selle kohta uudised algselt ilmusid.

Ilmselt järgnes rikkumine pettumust valmistavale tuttavale "rünnakuahelale":

• Keegi Uberist laadis GitHubisse üles hulga lähtekoodi, kuid sisaldas kogemata kataloogi, mis sisaldas juurdepääsumandaate.
• Häkkerid komistasid lekkinud volikirjade otsa, ja kasutas neid Amazoni pilves hostitud Uberi andmetele juurde pääsemiseks ja nendes leidmiseks.
• Seega paljastasid Amazoni serverid isikuandmeid enam kui 50,000,000 7,000,000 600,000 Uberi sõitjal ja 60,000 XNUMX XNUMX juhil, sealhulgas juhiloa numbrid umbes XNUMX XNUMX juhil ja sotsiaalkindlustusnumbrid (SSN) XNUMX XNUMX juhil.

Irooniline, et see rikkumine juhtus siis, kui Uber oli 2014. aastal kannatanud rikkumise kohta FTC uurimise all.

Nagu võite ette kujutada, peate teatama ulatuslikust andmerikkumisest, kui vastate regulaatorile varasema rikkumise kohta ja proovite ametiasutusi kinnitada, et see ei kordu...

…peab olema raske pill alla neelata.

Tõepoolest, 2016. aasta rikkumine vaikiti kuni 2017. aastani, mil Uberi uus juhtkond avastas loo ja tunnistas juhtumit.

Siis selgus, et häkkeritele, kes eelmisel aastal kõik need kliendikirjed ja juhiandmed eksfiltreerisid, maksti andmete kustutamise ja sellest vaikimise eest 100,000 XNUMX dollarit:

Regulatiivsest vaatenurgast oleks Uber muidugi pidanud paljudes jurisdiktsioonides üle maailma sellest rikkumisest kohe teatama, selle asemel, et seda enam kui aastaks vaikida.

Ühendkuningriigis näiteks teabevoliniku büroo erinevalt kommenteeritud sellel ajal:

Uberi teade eelmise aasta oktoobris toimunud varjatud andmerikkumise kohta tekitab suurt muret selle andmekaitsepoliitika ja eetika pärast. [2017-11-22T10:00Z]

Ettevõte on alati kohustatud tuvastama, millal Ühendkuningriigi kodanikke on andmetega seotud rikkumine mõjutanud, ja astuma samme tarbijatele tekitatava kahju vähendamiseks. Rikkumiste tahtlik varjamine reguleerivate asutuste ja kodanike eest võib ettevõtetele kaasa tuua suuremad trahvid. [2017-11-22T17:35Z]

Uber kinnitas, et 2016. aasta oktoobris toimunud andmete rikkumine mõjutas Ühendkuningriigis ligikaudu 2.7 miljonit kasutajakontot. Uber on öelnud, et rikkumine hõlmas nimesid, mobiiltelefoninumbreid ja e-posti aadresse. [2017]

Alasti turvalisuse lugejad imestasid, kuidas sai selle 100,000 XNUMX dollari suuruse häkkerimakse tehtud ilma, et olukord oleks veelgi hullemaks muutunud, ja me spekuleerinud:

Huvitav on näha, kuidas lugu edasi areneb – kui praegune Uberi juhtkond suudab selle praeguses etapis avada, siis see on. Ma arvan, et võiksite selle 100,000 XNUMX dollari pakkida "vearaha väljamaksena", kuid see jätab siiski küsimuse, kuidas ise väga mugavalt otsustada, et sellest pole vaja teatada.

Näib, et just nii juhtuski: rikkumine, mis-tuli-täpselt-valel-ajal-rikkumise-uurimise-keskel, pandi kirja kui „vearaha”, miski, mis tavaliselt sõltub esialgne avalikustamine vastutustundlikult, mitte väljapressimise nõudmise vormis.

Tavaliselt ei varastaks eetiline vigade pearahakütt esmalt andmeid ega nõuaks vaikimisi raha, et neid mitte avaldada, nagu lunavarakelmid tänapäeval sageli teevad. Selle asemel dokumenteeriks eetiline pearahakütt tee, mis viis andmeteni, ja turvanõrkused, mis võimaldasid neil neile juurde pääseda, ning võib-olla laadib alla väga väikese, kuid esindusliku valimi, veendumaks, et see on tõepoolest kaugotsitav. Seega ei omandaks nad andmeid esmalt väljapressimisvahendina kasutamiseks ning igasugune võimalik avalikkus, milles lepitakse kokku vigade hüvitamise protsessi osana, paljastaks turvaaugu olemuse, mitte tegelikud andmed, mis olid ohus. (Eelkokkulepitud "avaldamise tähtajaks" kuupäevad on olemas, et anda ettevõtetele piisavalt aega probleemide omal soovil lahendamiseks, määrates samas tähtaja, et nad ei üritaks probleemi selle asemel vaiba alla pühkida.)

Õige või vale?

Uberi rikkumise ja varjamise ümber tekkinud kära tõi lõpuks kaasa süüdistuse CSO enda vastu ning talle esitati süüdistus ülalmainitud kuritegudes.

Veidi alla kuu kestnud kohtuprotsess Sullivani üle lõppes eelmise nädala lõpus.

Juhtum äratas küberturvalisuse kogukonnas palju huvi, muu hulgas seetõttu, et paljud krüptovaluutaettevõtted, kes seisavad silmitsi olukordadega, kus häkkerid on teeninud miljoneid või sadu miljoneid dollareid, näivad üha rohkem (Ja avalikult) on valmis järgima väga sarnast teed "kirjutame rikkumiste ajaloo ümber".

"Andke varastatud raha tagasi," nad anuvad, sageli rüüstatud krüptovaluuta plokiahela kaudu kommentaare vahetades, "ja me laseme teil jätta endale märkimisväärse koguse raha veahüvitisena ning anname endast parima, et õiguskaitset teie seljast eemal hoida.

Kui sellisel viisil rikkumiste ajaloo ümberkirjutamise lõpptulemus on see, et varastatud andmed kustutatakse, vältides sellega ohvritele tekitatud otsest kahju, või et varastatud krüptomündid, mis muidu igaveseks kaotsi läheksid, tagastatakse, kas eesmärk õigustab vahendeid?

Sullivani puhul otsustas žürii ilmselt pärast neljapäevast kaalumist, et vastus oli "Ei" ja mõistis ta süüdi.

Karistuse määramise kuupäeva pole veel määratud ja arvame, et Sullivan, kes ise oli varem föderaalprokurör, kaebab edasi.

Vaadake seda ruumi, sest see saaga tundub kindlasti muutuvat veelgi huvitavamaks…

---