Joe Sullivan, joka oli Uberin turvallisuusjohtaja vuosina 2015–2017, on ollut tuomittu Yhdysvaltain liittovaltion tuomioistuimessa yrityksen vuonna 2016 tapahtuneen tietomurron peittämisestä.
Sullivania syytettiin FTC:n menettelyn estämisestä ( Federal Trade Commission, Yhdysvaltain kuluttajaoikeusjärjestö) ja rikoksen salailu, rikos, joka tunnetaan juridisessa terminologiassa erikoisella nimellä väärin vangitseminen.
Tuomaristo katsoi hänet syylliseksi molempiin rikoksiin.
We kirjoitti ensin aiheesta tämän laajasti katsotun oikeusjutun taustalla oleva rikkomus marraskuussa 2017, kun uutiset siitä alun perin ilmestyivät.
Ilmeisesti murto seurasi pettymysttävän tuttua "hyökkäysketjua":
- Joku Uberista latasi joukon lähdekoodia GitHubiin, mutta sisällytti vahingossa hakemiston, joka sisälsi käyttöoikeustiedot.
- Hakkerit törmäsivät vuotaneisiin valtuustietoihin, ja käyttivät niitä Amazonin pilvessä isännöidyn Uber-datan käyttämiseen ja selailuun.
- Näin murtaneet Amazon-palvelimet paljastivat henkilökohtaisia tietoja yli 50,000,000 7,000,000 600,000 Uber-kuljettajalle ja 60,000 XNUMX XNUMX kuljettajalle, mukaan lukien ajokorttinumerot noin XNUMX XNUMX kuljettajalle ja sosiaaliturvatunnukset (SSN) XNUMX XNUMX kuljettajalle.
Ironista kyllä, tämä rikkomus tapahtui, kun Uber oli FTC:n tutkinnassa vuonna 2014 tapahtuneesta rikkomuksesta.
Kuten voit kuvitella, sinun on ilmoitettava massiivisesta tietoturvaloukkauksesta, kun vastaat sääntelyviranomaiselle aikaisemmasta tietomurrosta ja yrität vakuuttaa viranomaisille, että se ei toistu...
…täytyy olla vaikea pilleri niellä.
Itse asiassa vuoden 2016 rikkomus pidettiin hiljaa vuoteen 2017 asti, jolloin Uberin uusi johto paljasti tarinan ja myönsi tapauksen.
Silloin kävi ilmi, että hakkereille, jotka suodattivat kaikki ne asiakastiedot ja kuljettajatiedot edellisenä vuonna, maksettiin 100,000 XNUMX dollaria tietojen poistamisesta ja siitä vaikenemisesta:
Sääntelyn näkökulmasta Uberin olisi tietysti pitänyt ilmoittaa tästä rikkomuksesta heti monilla lainkäyttöalueilla ympäri maailmaa sen sijaan, että se olisi hiljentänyt sitä yli vuodeksi.
Yhdistyneessä kuningaskunnassa esimerkiksi Information Commissioner's Office kommentoinut eri tavoin tällä hetkellä:
Uberin ilmoitus piilotetusta tietoturvaloukkauksesta viime lokakuussa herättää suurta huolta sen tietosuojapolitiikasta ja eettisyydestä. [2017-11-22T10:00Z]
Yrityksen vastuulla on aina tunnistaa, milloin Yhdistyneen kuningaskunnan kansalaiset ovat joutuneet tietoturvaloukkaukseen, ja ryhtyä toimiin kuluttajille aiheutuvien haittojen vähentämiseksi. Rikkomusten tahallinen salailu sääntelyviranomaisilta ja kansalaisilta voisi saada yrityksille korkeampia sakkoja. [2017-11-22T17:35Z]
Uber vahvisti lokakuussa 2016 tapahtuneen tietomurtonsa koskeneen noin 2.7 miljoonaan käyttäjätiliin Isossa-Britanniassa. Uber on kertonut, että tietoturvaloukkaus koski nimiä, matkapuhelinnumeroita ja sähköpostiosoitteita. [2017]
Naked Securityn lukijat ihmettelivät, kuinka tuo 100,000 XNUMX dollarin hakkerimaksu olisi voitu suorittaa ilman, että asiat näyttävät vielä pahemmalta, ja me spekuloi:
On mielenkiintoista nähdä, miten tarina etenee – jos nykyinen Uber-johto pystyy paljastamaan sen tässä vaiheessa, niin se on. Oletan, että voisit kääriä 100,000 XNUMX dollaria "vikapalkkioksi", mutta se jättää silti kysymyksen siitä, että voit itse päättää helposti, ettei siitä ollut tarpeen ilmoittaa.
Näyttää siltä, että juuri näin tapahtui: rikkomus, joka tapahtui täsmälleen-väärään aikaan-loukkauksen-tutkimuksen keskellä, kirjoitettiin "vikapalkkioksi", joksikin riippuu yleensä siitä, että ensimmäinen ilmoitus tehdään vastuullisesti, ei kiristysvaatimuksen muodossa.
Tyypillisesti eettinen bugien palkkionmetsästäjä ei varastaisi tietoja ensin ja vaatisi hiljaista rahaa ollakseen julkaisematta niitä, kuten kiristysohjelmarikolliset tekevät nykyään usein. Sen sijaan eettinen palkkionmetsästäjä dokumentoi polun, joka johti heidät tietoihin ja tietoturvaheikkoudet, jotka mahdollistivat heidän pääsyn niihin, ja ehkä lataa hyvin pienen mutta edustavan näytteen varmistaakseen, että se todellakin oli etähaettavissa. He eivät siis hankkisi tietoja alun perin käytettäväksi kiristystyökaluna, ja mikä tahansa mahdollinen bugipalkkioprosessin osana sovittu julkistaminen paljastaisi tietoturva-aukon luonteen, ei vaarassa olleita todellisia tietoja. (Ennalta sovitut "ilmoituspäivämäärät" ovat olemassa, jotta yritykset saavat riittävästi aikaa korjata ongelmat omasta tahdostaan, samalla kun asetetaan määräaika varmistaakseen, etteivät ne sen sijaan yritä lakaista asiaa maton alle.)
Oikein tai väärin?
Uberin rikkomisesta ja salailusta aiheutunut meteli johti lopulta syytöksiin itse CSO:ta vastaan, ja häntä syytettiin edellä mainituista rikoksista.
Sullivanin hieman alle kuukauden kestänyt oikeudenkäynti päättyi viime viikon lopussa.
Tapaus herätti runsaasti kiinnostusta kyberturvallisuusyhteisössä, ei vähiten siksi, että useat kryptovaluuttayhtiöt ovat kohdanneet tilanteita, joissa hakkerit ovat tienaaneet miljoonia tai satoja miljoonia dollareita. yhä useammin (Ja julkisesti) halukas seuraamaan hyvin samanlaista "kirjoitetaan rikkomushistoria uudelleen" -polkua.
"Anna varastamasi rahat takaisin" he pyytävät, usein vaihtaessaan kommentteja ryöstetyn kryptovaluutan lohkoketjun kautta, "ja annamme sinun pitää huomattavan osan rahasta virhepalkkiona, ja teemme parhaamme pitääksemme lainvalvontaviranomaiset poissa."
Jos rikkomushistorian uudelleenkirjoittamisen lopputulos tällä tavalla on se, että varastetut tiedot poistetaan, jolloin uhreille aiheutuu välitöntä vahinkoa, tai varastetut kryptokolikot, jotka muuten olisivat kadonneet ikuisesti, palautetaan, oikeuttaako tarkoitus keinot?
Sullivanin tapauksessa valamiehistö ilmeisesti päätti neljän päivän harkinnan jälkeen, että vastaus oli "Ei", ja totesi hänet syylliseksi.
Tuomiopäivämäärää ei ole vielä asetettu, ja arvelemme, että Sullivan, joka itse oli aiemmin liittovaltion syyttäjä, aikoo valittaa.
Katso tätä tilaa, koska tämä saaga näyttää varmasti muuttuvan vielä mielenkiintoisemmaksi…
- blockchain
- coingenius
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- tietojen menetys
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- GDPR-vaatimusten noudattaminen
- Kaspersky
- haittaohjelmat
- McAfee
- Naked Security
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- yksityisyys
- Sullivan
- Uber
- VPN
- verkkosivuilla turvallisuus
- zephyrnet
