2015년부터 2017년까지 Uber의 최고 보안 책임자를 지낸 Joe Sullivan은 유죄를 입증하는 2016년 미국 연방 법원에서 회사의 데이터 침해를 은폐했습니다.
Sullivan은 FTC가 수행한 절차를 방해한 혐의로 기소되었습니다. 연방 거래위원회, 미국 소비자 권리 기구), 범죄 은폐, 법률 용어로 알려진 특정 범죄 오해.
배심원단은 이 두 범죄 모두에 대해 유죄를 선고했습니다.
We 처음으로 쓴 2017년 XNUMX월, 이 사건에 대한 뉴스가 처음 나왔을 때 널리 시청된 이 법원 사건의 배후에 있는 위반 사항입니다.
분명히 이 침해는 실망스럽게도 친숙한 "공격 체인"을 따랐습니다.
- Uber의 누군가가 GitHub에 많은 소스 코드를 업로드했지만 액세스 자격 증명이 포함된 디렉터리를 실수로 포함했습니다.
- 해커는 유출된 자격 증명을 우연히 발견했습니다. Amazon의 클라우드에서 호스팅되는 Uber 데이터에 액세스하고 탐색하는 데 사용했습니다.
- 이렇게 해서 유출된 Amazon 서버는 개인 정보를 공개했습니다. 50,000,000명 이상의 Uber 라이더와 7,000,000명 이상의 운전자에 대한 정보입니다. 여기에는 약 600,000명의 운전자에 대한 운전 면허증 번호와 60,000명에 대한 사회 보장 번호(SSN)가 포함됩니다.
아이러니하게도 이 위반은 Uber가 2014년에 겪었던 위반에 대해 FTC 조사를 받는 동안 발생했습니다.
상상할 수 있듯이 이전 위반에 대해 규제 기관에 답변하는 도중에 대규모 데이터 위반을 보고해야 하고 다시는 이러한 일이 발생하지 않을 것이라고 당국을 안심시키려고 노력하는 동안…
… 삼키기 힘든 알약을 먹어야 합니다.
실제로 2016년 침해 사고는 2017년 Uber의 새로운 경영진이 사건을 폭로하고 사건을 인정할 때까지 조용히 있었습니다.
바로 그 해에 모든 고객 기록과 운전자 데이터를 빼낸 해커가 데이터를 삭제하고 이에 대해 침묵하는 대가로 100,000달러를 받았다는 사실이 드러났습니다.
물론 규제의 관점에서 Uber는 이 위반을 XNUMX년 이상 숨기지 않고 전 세계 여러 관할권에서 즉시 보고했어야 했습니다.
예를 들어 영국의 경우 정보 위원회(Information Commissioner's Office) 다양한 댓글 당시 :
지난 2017월 Uber가 은폐된 데이터 침해에 대해 발표한 것은 데이터 보호 정책과 윤리에 대한 큰 우려를 불러일으켰습니다. [11-22-10T00:XNUMXZ]
영국 시민이 데이터 유출의 일부로 영향을 받은 시기를 식별하고 소비자에 대한 피해를 줄이기 위한 조치를 취하는 것은 항상 회사의 책임입니다. 규제 기관과 시민들로부터 의도적으로 위반 사항을 숨기면 회사에 더 높은 벌금이 부과될 수 있습니다. [2017-11-22T17:35Z]
Uber는 2016년 2.7월 데이터 침해가 영국의 약 2017만 사용자 계정에 영향을 미쳤음을 확인했습니다. 우버는 성명, 휴대폰 번호, 이메일 주소가 침해에 포함됐다고 밝혔다. [11-29-XNUMX]
Naked Security 독자들은 상황을 더욱 악화시키지 않고 어떻게 해커에게 100,000만 달러를 지불할 수 있었는지 궁금해했습니다. 추측 된:
이야기가 어떻게 전개되는지 보는 것은 흥미로울 것입니다. 현재 Uber 리더십이 이 단계에서 그것을 펼칠 수 있다면 말입니다. $100,000를 "버그 포상금"으로 포장할 수 있다고 생각하지만, 신고할 필요가 없다는 것을 스스로 매우 편리하게 결정해야 하는 문제가 여전히 남아 있습니다.
그것은 정확히 일어난 일인 것 같습니다. 위반 조사 중간에 정확히 잘못된 시간에 발생한 위반은 "버그 현상금"으로 작성되었습니다. 일반적으로 협박 요구의 형태가 아니라 책임감 있게 초기 공개에 의존합니다.
일반적으로 윤리적인 버그 현상금 사냥꾼은 랜섬웨어 사기꾼이 요즘 자주 하는 것처럼 먼저 데이터를 훔치고 게시하지 않기 위해 조용히 돈을 요구하지 않습니다. 대신, 윤리적 현상금 사냥꾼은 데이터로 이동한 경로와 데이터에 액세스할 수 있는 보안 취약점을 문서화하고, 실제로 원격으로 검색할 수 있는지 확인하기 위해 매우 작지만 대표적인 샘플을 다운로드할 수 있습니다. 따라서 그들은 갈취 도구로 사용하기 위해 처음부터 데이터를 획득하지 않을 것이며, 버그 포상금 프로세스의 일부로 합의된 잠재적인 공개는 위험에 처한 실제 데이터가 아니라 보안 허점의 성격을 드러낼 것입니다. (사전 조정된 "공개 기한" 날짜는 회사가 스스로 문제를 해결할 수 있는 충분한 시간을 제공하는 동시에 문제를 완전히 처리하려고 하지 않도록 기한을 설정합니다.)
옳고 그름?
Uber의 침해 및 은폐에 대한 소란은 결국 CSO 자신에 대한 비난으로 이어졌고, 그는 위에서 언급한 범죄로 기소되었습니다.
한 달도 채 안 된 설리번의 재판은 지난주 말에 끝났다.
이 사건은 사이버 보안 커뮤니티에서 많은 관심을 끌었습니다. 특히 해커가 수백만 또는 수억 달러를 벌어들인 상황에 직면한 수많은 암호화폐 회사가 더욱 더 (그리고 공개적으로) 매우 유사한 종류의 "침해 기록을 다시 쓰자"는 경로를 기꺼이 따릅니다.
"훔친 돈 돌려줘" 그들은 종종 약탈 된 암호 화폐의 블록 체인을 통해 의견을 교환하면서 "그리고 버그 포상금으로 상당한 금액을 유지하도록 하고 법 집행을 방해하지 않도록 최선을 다할 것입니다.”
이러한 방식으로 침해 기록을 다시 작성하는 최종 결과가 도난당한 데이터가 삭제되어 피해자에게 즉각적인 피해를 피하거나 영원히 분실될 도난당한 암호화폐가 반환되는 것이라면 목적이 수단을 정당화합니까?
Sullivan의 경우 배심원단은 XNUMX일 간의 숙고 끝에 “No”라고 답했고 유죄를 선고했습니다.
아직 선고 날짜는 정해지지 않았으며, 자신이 연방 검사였던 설리반이 항소할 것으로 예상된다.
이 사가가 더욱 흥미로워질 것 같으니 이 공간을 주목하세요…
