पूर्व उबेर सीएसओ को 2016 में मेगाब्रीच को कवर करने का दोषी पाया गया

जो सुलिवन, जो 2015 से 2017 तक उबेर में मुख्य सुरक्षा अधिकारी थे, रहे हैं अपराधी 2016 में कंपनी में डेटा उल्लंघन को कवर करने के लिए एक अमेरिकी संघीय अदालत में।

सुलिवन पर एफटीसी द्वारा आयोजित कार्यवाही में बाधा डालने का आरोप लगाया गया था संघीय व्यापार आयोग, अमेरिकी उपभोक्ता अधिकार निकाय), और एक अपराध को छुपाना, एक ऐसा अपराध जिसे कानूनी शब्दावली में अजीबोगरीब नाम से जाना जाता है ग़लतफ़हमी.

जूरी ने उसे इन दोनों अपराधों का दोषी पाया।

We पहले . के बारे में लिखा नवंबर 2017 में इस व्यापक रूप से देखे जाने वाले अदालती मामले के पीछे का उल्लंघन, जब इसके बारे में मौखिक रूप से खबरें सामने आईं।

जाहिर है, उल्लंघन ने निराशाजनक रूप से परिचित "हमले श्रृंखला" का पालन किया:

• Uber के किसी व्यक्ति ने GitHub पर स्रोत कोड का एक गुच्छा अपलोड किया है, लेकिन गलती से एक निर्देशिका शामिल हो गई जिसमें एक्सेस क्रेडेंशियल शामिल थे।
• लीक हुई साख पर हैकर्स ने ठोकर खाई, और उनका उपयोग Amazon के क्लाउड में होस्ट किए गए Uber डेटा तक पहुँचने और उसे देखने के लिए किया।
• इस प्रकार अमेज़ॅन के सर्वरों ने व्यक्तिगत जानकारी का खुलासा किया 50,000,000 से अधिक उबेर सवारों और 7,000,000 ड्राइवरों पर, जिनमें लगभग 600,000 ड्राइवरों के लिए ड्राइविंग लाइसेंस नंबर और 60,000 के लिए सामाजिक सुरक्षा नंबर (एसएसएन) शामिल हैं।

विडंबना यह है कि यह उल्लंघन तब हुआ जब उबर 2014 में हुई एक उल्लंघन की एफटीसी जांच के दायरे में था।

जैसा कि आप कल्पना कर सकते हैं, जब आप पहले के उल्लंघन के बारे में नियामक को जवाब देने के बीच में बड़े पैमाने पर डेटा उल्लंघन की रिपोर्ट कर रहे हों, और जब आप अधिकारियों को आश्वस्त करने का प्रयास कर रहे हों कि यह फिर से नहीं होगा …

... निगलने के लिए कठिन गोली मिल गई है।

दरअसल, 2016 के उल्लंघन को 2017 तक शांत रखा गया था, जब उबर के नए प्रबंधन ने कहानी का खुलासा किया और घटना को स्वीकार किया।

तभी यह सामने आया कि एक साल पहले उन सभी ग्राहक रिकॉर्ड और ड्राइवर डेटा को निकालने वाले हैकर्स को डेटा हटाने और इसके बारे में चुप रहने के लिए $ 100,000 का भुगतान किया गया था:

एक नियामक दृष्टिकोण से, निश्चित रूप से, उबेर को इस उल्लंघन की रिपोर्ट दुनिया भर के कई न्यायालयों में तुरंत करनी चाहिए, बजाय इसे एक वर्ष से अधिक समय के लिए।

यूके में, उदाहरण के लिए, सूचना आयुक्त का कार्यालय तरह-तरह की टिप्पणी की उस समय पर:

पिछले अक्टूबर में छुपाए गए डेटा उल्लंघन के बारे में उबेर की घोषणा ने अपनी डेटा सुरक्षा नीतियों और नैतिकता के बारे में बड़ी चिंताएं उठाई हैं। [2017-11-22T10:00Z]

डेटा उल्लंघन के हिस्से के रूप में यूके के नागरिक कब प्रभावित हुए हैं, इसकी पहचान करना और उपभोक्ताओं को होने वाले किसी भी नुकसान को कम करने के लिए कदम उठाना हमेशा कंपनी की जिम्मेदारी है। नियामकों और नागरिकों से जानबूझकर उल्लंघनों को छिपाने से कंपनियों के लिए अधिक जुर्माना लगाया जा सकता है। [2017-11-22T17:35Z]

उबेर ने अक्टूबर 2016 में अपने डेटा उल्लंघन की पुष्टि की है जिससे यूके में लगभग 2.7 मिलियन उपयोगकर्ता खाते प्रभावित हुए हैं। उबर ने कहा है कि उल्लंघन में नाम, मोबाइल फोन नंबर और ईमेल पते शामिल हैं। [2017-11-29]

नग्न सुरक्षा पाठकों ने सोचा कि कैसे $ 100,000 का हैकर भुगतान बिना मामलों को और भी खराब किए किया जा सकता था, और हम अनुमान लगाया:

यह देखना दिलचस्प होगा कि कहानी कैसे सामने आती है - अगर वर्तमान उबेर नेतृत्व इसे इस स्तर पर प्रकट कर सकता है, अर्थात। मुझे लगता है कि आप $ 100,000 को "बग बाउंटी पेआउट" के रूप में लपेट सकते हैं, लेकिन यह अभी भी अपने लिए बहुत आसानी से निर्णय लेने का मुद्दा छोड़ देता है कि इसकी रिपोर्ट करना आवश्यक नहीं था।

ऐसा लगता है कि वास्तव में ऐसा ही हुआ था: उल्लंघन-वह-पर-बिल्कुल-गलत-समय-में-के-बीच-एक-उल्लंघन-जांच को "बग बाउंटी" के रूप में लिखा गया था, कुछ ऐसा जो आमतौर पर प्रारंभिक प्रकटीकरण जिम्मेदारी से किए जाने पर निर्भर करता है, न कि ब्लैकमेल की मांग के रूप में।

आमतौर पर, एक नैतिक बग बाउंटी हंटर पहले डेटा की चोरी नहीं करेगा और इसे प्रकाशित न करने के लिए चुपचाप पैसे की मांग करेगा, जैसा कि इन दिनों रैंसमवेयर बदमाश अक्सर करते हैं। इसके बजाय, एक नैतिक इनाम शिकारी उस पथ का दस्तावेजीकरण करेगा जो उन्हें डेटा तक ले गया और सुरक्षा कमजोरियों ने उन्हें इसे एक्सेस करने की अनुमति दी, और शायद खुद को संतुष्ट करने के लिए एक बहुत छोटा लेकिन प्रतिनिधि नमूना डाउनलोड करें कि यह वास्तव में दूरस्थ रूप से पुनर्प्राप्ति योग्य था। इस प्रकार वे जबरन वसूली उपकरण के रूप में उपयोग करने के लिए पहले स्थान पर डेटा प्राप्त नहीं करेंगे, और बग बाउंटी प्रक्रिया के हिस्से के रूप में सहमत किसी भी संभावित सार्वजनिक प्रकटीकरण से सुरक्षा छेद की प्रकृति का पता चलेगा, न कि वास्तविक डेटा जो जोखिम में था। (पूर्व-व्यवस्थित "डिस्क्लोज़ बाय" तिथियां कंपनियों को अपने हिसाब से समस्याओं को ठीक करने के लिए पर्याप्त समय देने के लिए मौजूद हैं, जबकि यह सुनिश्चित करने के लिए एक समय सीमा निर्धारित करते हैं कि वे इसके बजाय कारपेट के नीचे इस मुद्दे को स्वीप करने की कोशिश नहीं करते हैं।)

सही या गलत?

उबेर के उल्लंघन और कवर-अप पर उपद्रव ने अंततः स्वयं सीएसओ के खिलाफ आरोप लगाए, और उन पर उपरोक्त अपराधों का आरोप लगाया गया।

सुलिवन का मुकदमा, जो एक महीने से भी कम समय तक चला, पिछले सप्ताह के अंत में समाप्त हुआ।

इस मामले ने साइबर सुरक्षा समुदाय में बहुत रुचि को आकर्षित किया, कम से कम इसलिए नहीं कि कई क्रिप्टोक्यूरेंसी कंपनियां, ऐसी स्थितियों का सामना कर रही हैं जहां हैकर्स ने लाखों या सैकड़ों मिलियन डॉलर कमाए हैं, ऐसा लगता है तेजी (और सार्वजनिक रूप से) "चलो उल्लंघन इतिहास को फिर से लिखें" पथ के समान प्रकार का अनुसरण करने के लिए तैयार हैं।

"जो पैसा तुमने चुराया है उसे वापस दो" वे अक्सर लूटी गई क्रिप्टोकरेंसी के ब्लॉकचेन के माध्यम से टिप्पणियों के आदान-प्रदान में भीख माँगते हैं, "और हम आपको बग बाउंटी भुगतान के रूप में बड़ी मात्रा में धन रखने देंगे, और हम कानून प्रवर्तन को आपकी पीठ से दूर रखने की पूरी कोशिश करेंगे।"

यदि इस तरह से उल्लंघन के इतिहास को फिर से लिखने का अंतिम परिणाम यह है कि चोरी का डेटा हटा दिया जाता है, इस प्रकार पीड़ितों को किसी भी तत्काल नुकसान को दूर करता है, या चोरी किए गए क्रिप्टोकॉइन जो अन्यथा हमेशा के लिए खो जाते हैं, वापस आ जाते हैं, तो क्या अंत साधनों को सही ठहराता है?

सुलिवन के मामले में, जूरी ने चार दिनों के विचार-विमर्श के बाद स्पष्ट रूप से फैसला किया कि जवाब "नहीं" था, और उसे दोषी पाया।

सजा के लिए अभी तक कोई तारीख निर्धारित नहीं की गई है, और हम अनुमान लगा रहे हैं कि सुलिवन, जो खुद एक संघीय अभियोजक हुआ करते थे, अपील करेंगे।

इस स्थान को देखें, क्योंकि यह गाथा निश्चित रूप से और भी दिलचस्प होने वाली है…

---