Joe Sullivan, yang menjabat sebagai Chief Security Officer di Uber dari 2015 hingga 2017, telah dihukum di pengadilan federal AS untuk menutupi pelanggaran data di perusahaan pada tahun 2016.
Sullivan didakwa dengan menghalangi proses yang dilakukan oleh FTC (the Komisi Perdagangan Federal, badan hak-hak konsumen AS), dan menyembunyikan kejahatan, pelanggaran yang dikenal dalam terminologi hukum dengan nama khusus dari salah memasukkan.
Juri memutuskan dia bersalah atas kedua pelanggaran ini.
We pertama kali menulis tentang pelanggaran di balik kasus pengadilan yang ditonton secara luas ini pada November 2017, ketika berita tentangnya pertama kali muncul.
Rupanya, pelanggaran itu mengikuti "rantai serangan" yang mengecewakan:
- Seseorang di Uber mengunggah banyak kode sumber ke GitHub, tapi secara tidak sengaja menyertakan direktori yang berisi kredensial akses.
- Peretas menemukan kredensial yang bocor, dan menggunakannya untuk mengakses dan melihat-lihat data Uber yang dihosting di cloud Amazon.
- Dengan demikian, server Amazon yang dilanggar mengungkapkan informasi pribadi di lebih dari 50,000,000 pengendara Uber dan 7,000,000 pengemudi, termasuk nomor SIM untuk sekitar 600,000 pengemudi dan nomor jaminan sosial (SSN) untuk 60,000.
Ironisnya, pelanggaran ini terjadi saat Uber sedang dalam proses penyelidikan FTC atas pelanggaran yang dialaminya pada tahun 2014.
Seperti yang dapat Anda bayangkan, harus melaporkan pelanggaran data besar-besaran saat Anda sedang menjawab kepada regulator tentang pelanggaran sebelumnya, dan saat Anda mencoba meyakinkan pihak berwenang bahwa itu tidak akan terjadi lagiโฆ
... Pasti pil yang sulit untuk ditelan.
Memang, pelanggaran 2016 dirahasiakan hingga 2017, ketika manajemen baru di Uber mengungkap cerita dan mengakui insiden itu.
Saat itulah terungkap bahwa peretas yang mengekstrak semua catatan pelanggan dan data pengemudi tahun sebelumnya dibayar $ 100,000 untuk menghapus data dan tetap diam tentang hal itu:
Dari sudut pandang peraturan, tentu saja, Uber seharusnya segera melaporkan pelanggaran ini di banyak yurisdiksi di seluruh dunia, daripada menutupnya selama lebih dari setahun.
Di Inggris, misalnya, Kantor Komisaris Informasi berbagai komentar pada saat itu:
Pengumuman Uber tentang pelanggaran data tersembunyi Oktober lalu menimbulkan kekhawatiran besar seputar kebijakan dan etika perlindungan datanya. [2017-11-22T10:00Z]
Itu selalu menjadi tanggung jawab perusahaan untuk mengidentifikasi ketika warga negara Inggris telah terpengaruh sebagai bagian dari pelanggaran data dan mengambil langkah-langkah untuk mengurangi bahaya apa pun kepada konsumen. Dengan sengaja menyembunyikan pelanggaran dari regulator dan warga negara dapat menarik denda yang lebih tinggi bagi perusahaan. [2017-11-22T17:35Z]
Uber telah mengkonfirmasi pelanggaran datanya pada Oktober 2016 mempengaruhi sekitar 2.7 juta akun pengguna di Inggris. Uber mengatakan pelanggaran itu melibatkan nama, nomor ponsel, dan alamat email. [2017-11-29]
Pembaca Naked Security bertanya-tanya bagaimana pembayaran peretas $ 100,000 itu dapat dilakukan tanpa membuat masalah terlihat lebih buruk, dan kami berspekulasi:
Akan menarik untuk melihat bagaimana ceritanya terungkap โ jika kepemimpinan Uber saat ini dapat mengungkapnya pada tahap ini. Saya kira Anda bisa membungkus $100,000 sebagai "pembayaran hadiah bug", tetapi itu masih menyisakan masalah untuk memutuskan sendiri bahwa tidak perlu melaporkannya.
Tampaknya itulah yang terjadi: investigasi pelanggaran-yang-datang-di-waktu-yang-salah-di-tengah-pelanggaran ditulis sebagai "hadiah bug", sesuatu yang biasanya tergantung pada pengungkapan awal yang dilakukan secara bertanggung jawab, dan bukan dalam bentuk permintaan pemerasan.
Biasanya, pemburu hadiah bug etis tidak akan mencuri data terlebih dahulu dan meminta uang tutup mulut untuk tidak mempublikasikannya, seperti yang sering dilakukan penjahat ransomware akhir-akhir ini. Sebagai gantinya, pemburu hadiah etis akan mendokumentasikan jalur yang membawa mereka ke data dan kelemahan keamanan yang memungkinkan mereka mengaksesnya, dan mungkin mengunduh sampel yang sangat kecil namun representatif untuk meyakinkan diri mereka sendiri bahwa itu memang dapat diambil dari jarak jauh. Dengan demikian mereka tidak akan memperoleh data di tempat pertama untuk digunakan sebagai alat pemerasan, dan setiap pengungkapan publik potensial yang disepakati sebagai bagian dari proses karunia bug akan mengungkapkan sifat lubang keamanan, bukan data aktual yang berisiko. (Tanggal โdisclose byโ yang telah diatur sebelumnya ada untuk memberi perusahaan cukup waktu untuk memperbaiki masalah sesuai keinginan mereka sendiri, sambil menetapkan tenggat waktu untuk memastikan bahwa mereka tidak mencoba untuk menyembunyikan masalah di bawah karpet.)
Benar atau salah?
Keributan atas pelanggaran-dan-penutupan Uber akhirnya menyebabkan tuduhan terhadap CSO itu sendiri, dan dia didakwa dengan kejahatan yang disebutkan di atas.
Persidangan Sullivan, yang berlangsung kurang dari sebulan, berakhir pada akhir pekan lalu.
Kasus ini menarik banyak minat di komunitas keamanan siber, paling tidak karena banyak perusahaan cryptocurrency, dihadapkan dengan situasi di mana peretas telah menghasilkan jutaan atau ratusan juta dolar, tampaknya makin (Dan di depan umum) bersedia mengikuti jalur "mari kita tulis ulang riwayat pelanggaran" yang sangat mirip.
"Kembalikan uang yang kamu curi," mereka memohon, seringkali dalam pertukaran komentar melalui blockchain dari cryptocurrency yang dijarah, โdan kami akan membiarkan Anda menyimpan jumlah uang yang cukup besar sebagai pembayaran hadiah bug, dan kami akan melakukan yang terbaik untuk menjaga penegakan hukum dari Anda.
Jika hasil akhir dari penulisan ulang riwayat pelanggaran dengan cara ini adalah bahwa data yang dicuri akan dihapus, sehingga menghindari bahaya langsung bagi para korban, atau bahwa cryptocoin yang dicuri yang seharusnya hilang selamanya akan dikembalikan, apakah tujuannya membenarkan cara?
Dalam kasus Sullivan, juri rupanya memutuskan, setelah empat hari musyawarah, bahwa jawabannya adalah "Tidak", dan memutuskan dia bersalah.
Belum ada tanggal yang ditetapkan untuk hukuman, dan kami menduga Sullivan, yang dulunya adalah jaksa federal, akan mengajukan banding.
Perhatikan ruang ini, karena kisah ini tampaknya akan semakin menarikโฆ
- blockchain
- kecerdasan
- dompet cryptocurrency
- pertukaran kripto
- keamanan cyber
- penjahat cyber
- Keamanan cyber
- kehilangan data
- Departemen Keamanan Dalam Negeri
- dompet digital
- firewall
- Kepatuhan GDPR
- Kaspersky
- malware
- mcafe
- Keamanan Telanjang
- BerikutnyaBLOC
- plato
- plato ai
- Kecerdasan Data Plato
- Permainan Plato
- Data Plato
- permainan plato
- pribadi
- Sullivan
- uber
- VPN
- website security
- zephyrnet.dll
