CSO سابق اوبر در سال 2016 به دلیل سرپوش گذاشتن بر یک مگابری مجرم شناخته شد

جو سالیوان که از سال 2015 تا 2017 مدیر ارشد امنیتی اوبر بود، محکوم در دادگاه فدرال ایالات متحده برای سرپوش گذاشتن بر نقض اطلاعات در این شرکت در سال 2016.

سالیوان به ممانعت از روند انجام شده توسط FTC متهم شد کمیسیون تجارت فدرال، سازمان حقوق مصرف کننده ایالات متحده) و پنهان کردن یک جرم، جرمی که در اصطلاح حقوقی با نام عجیب و غریب شناخته می شود. انحراف.

هیئت منصفه او را در هر دو این جرم مجرم تشخیص داد.

We اولین بار در مورد نقض پشت این پرونده قضایی پربازدید در نوامبر 2017، زمانی که اخبار اولیه در مورد آن منتشر شد.

ظاهراً این نقض یک "زنجیره حمله" آشنا ناامیدکننده بود:

• شخصی در اوبر تعداد زیادی کد منبع را در GitHub آپلود کرد، اما به طور تصادفی فهرستی را شامل می شود که حاوی اعتبار دسترسی است.
• هکرها به طور تصادفی به اطلاعات فاش شده دست یافتند، و از آنها برای دسترسی به داده‌های Uber که در ابر آمازون میزبانی می‌شود، استفاده کرد.
• بدین ترتیب سرورهای آمازون اطلاعات شخصی فاش شده را نقض کردند روی بیش از 50,000,000 سوار Uber و 7,000,000 راننده، از جمله شماره گواهینامه رانندگی برای حدود 600,000 راننده و شماره های تامین اجتماعی (SSN) برای 60,000.

از قضا، این نقض زمانی اتفاق افتاد که اوبر در جریان تحقیقات FTC در مورد نقضی بود که در سال 2014 متحمل شده بود.

همانطور که می توانید تصور کنید، در حالی که در وسط پاسخ دادن به قانونگذار در مورد نقض قبلی هستید، مجبور هستید یک نقض گسترده داده را گزارش دهید، و در حالی که سعی می کنید به مقامات اطمینان دهید که دیگر تکرار نخواهد شد…

... باید قرصی برای قورت دادن سخت باشد.

در واقع، نقض سال 2016 تا سال 2017 مسکوت ماند، زمانی که مدیریت جدید اوبر ماجرا را فاش کرد و به این حادثه اعتراف کرد.

در آن زمان مشخص شد که هکرهایی که در سال قبل از تمام آن سوابق مشتری و داده های راننده استفاده کردند، 100,000 دلار پرداخت کردند تا داده ها را حذف کنند و در مورد آن سکوت کنند:

از نقطه نظر نظارتی، البته، Uber باید این نقض را بلافاصله در بسیاری از حوزه های قضایی در سراسر جهان گزارش می کرد، نه اینکه آن را برای بیش از یک سال خاموش کند.

برای مثال، در انگلستان، دفتر کمیسر اطلاعات نظرات مختلف به هنگام:

اعلامیه Uber در مورد نقض پنهان داده ها در اکتبر گذشته، نگرانی های زیادی را در مورد سیاست ها و اخلاقیات حفاظت از داده ها ایجاد می کند. [2017-11-22T10:00Z]

این همیشه مسئولیت این شرکت است که تشخیص دهد چه زمانی شهروندان بریتانیا به عنوان بخشی از نقض داده ها تحت تأثیر قرار گرفته اند و اقداماتی را برای کاهش هرگونه آسیب به مصرف کنندگان انجام دهد. پنهان کردن عمدی تخلفات از سوی تنظیم‌کننده‌ها و شهروندان می‌تواند جریمه‌های بیشتری را برای شرکت‌ها به همراه داشته باشد. [2017-11-22T17:35Z]

اوبر تأیید کرده است که نقض داده های خود در اکتبر 2016 تقریباً 2.7 میلیون حساب کاربری در بریتانیا را تحت تأثیر قرار داده است. اوبر گفته است که این نقض شامل نام ها، شماره تلفن های همراه و آدرس های ایمیل است. [2017-11-29]

خوانندگان Naked Security تعجب کردند که چگونه می توان آن پرداخت هکری 100,000 دلاری را بدون بدتر کردن اوضاع انجام داد و ما حدس زد:

جالب است که ببینیم داستان چگونه پیش می‌رود – اگر رهبری فعلی Uber بتواند آن را در این مرحله باز کند، یعنی. فکر می‌کنم می‌توانید 100,000 دلار را به‌عنوان «پرداخت پاداش اشکال» جمع‌بندی کنید، اما همچنان این موضوع را باقی می‌گذارد که به راحتی تصمیم بگیرید که لازم نیست آن را گزارش کنید.

به نظر می‌رسد که دقیقاً همین اتفاق افتاده است: نقض-در-در-زمان-در-در-در-زمان-اشتباه-در-وسط-یک-تحقیقات-نقض-به‌عنوان «جایزه‌ی اشکال» نوشته شد، چیزی که معمولاً بستگی به این دارد که افشای اولیه به طور مسئولانه انجام شود و نه به صورت درخواست باج خواهی.

به طور معمول، یک شکارچی پاداش باگ اخلاقی، ابتدا داده ها را نمی دزدد و برای انتشار ندادن آن ها، پولی را طلب نمی کند، همانطور که کلاهبرداران باج افزار اغلب این روزها انجام می دهند. در عوض، یک شکارچی فضل اخلاقی مسیری را که آنها را به داده‌ها هدایت می‌کرد و ضعف‌های امنیتی که به آنها امکان دسترسی به آن‌ها را می‌داد، مستند می‌کرد و شاید یک نمونه بسیار کوچک اما نماینده را دانلود کرد تا مطمئن شود که واقعاً از راه دور قابل بازیابی است. بنابراین، آنها در وهله اول داده ها را برای استفاده به عنوان ابزار اخاذی به دست نمی آورند، و هرگونه افشای عمومی احتمالی که به عنوان بخشی از فرآیند پاداش باگ توافق شود، ماهیت حفره امنیتی را نشان می دهد، نه داده های واقعی را که در معرض خطر بوده است. (تاریخ‌های از پیش تعیین‌شده «افشای تا» وجود دارد تا به شرکت‌ها زمان کافی بدهد تا مشکلات را خودشان برطرف کنند، در حالی که ضرب‌الاجل تعیین می‌کنند تا اطمینان حاصل شود که در عوض سعی نمی‌کنند موضوع را زیر فرش بکشند.)

درست یا غلط؟

سر و صدا در مورد نقض و پوشش اوبر در نهایت منجر به اتهاماتی علیه خود CSO شد و او به جرایم فوق متهم شد.

محاکمه سالیوان، که کمتر از یک ماه به طول انجامید، در پایان هفته گذشته به پایان رسید.

این مورد توجه بسیاری را در جامعه امنیت سایبری به خود جلب کرد، به ویژه به این دلیل که بسیاری از شرکت‌های ارزهای دیجیتال، که با موقعیت‌هایی مواجه شده‌اند که هکرها میلیون‌ها یا صدها میلیون دلار درآمد داشته‌اند. به طور فزاینده (و عمومی) مایل به پیروی از یک نوع بسیار مشابه از مسیر "بیایید تاریخچه نقض را بازنویسی کنیم" را دنبال کنید.

"پولی را که دزدیده اید پس بدهید" آنها اغلب در تبادل نظر از طریق بلاک چین ارز دیجیتال غارت شده التماس می کنند.و ما به شما اجازه می دهیم مقدار قابل توجهی از پول را به عنوان پرداخت پاداش باگ نگه دارید، و ما تمام تلاش خود را می کنیم تا مجریان قانون را از پشت شما دور نگه داریم."

اگر نتیجه نهایی بازنویسی تاریخچه نقض به این روش این باشد که داده‌های دزدیده شده حذف می‌شوند، در نتیجه از آسیب فوری به قربانیان جلوگیری می‌شود، یا اینکه رمزارزهای دزدیده شده که در غیر این صورت برای همیشه از دست می‌رفتند بازگردانده می‌شوند، آیا هدف وسیله را توجیه می‌کند؟

در مورد سالیوان، هیئت منصفه ظاهراً پس از چهار روز مشورت، تصمیم گرفت که پاسخ «نه» باشد و او را مجرم تشخیص داد.

هنوز تاریخی برای صدور حکم تعیین نشده است، و ما حدس می زنیم که سالیوان، که خود یک دادستان فدرال بود، تجدید نظر خواهد کرد.

این فضا را تماشا کنید، زیرا به نظر می رسد که این حماسه جالب تر می شود…

---