Joe Sullivan, die van 2015 tot 2017 Chief Security Officer was bij Uber, is overtuigd in een Amerikaanse federale rechtbank om een โโdatalek bij het bedrijf in 2016 toe te dekken.
Sullivan werd beschuldigd van het belemmeren van procedures die werden gevoerd door de FTC (de Federal Trade Commission, de Amerikaanse instantie voor consumentenrechten), en het verbergen van een misdaad, een misdrijf dat in juridische terminologie bekend staat onder de merkwaardige naam: verzuim.
De jury vond hem schuldig aan beide overtredingen.
We schreef voor het eerst over de breuk achter deze veel bekeken rechtszaak in november 2017, toen het nieuws erover oorspronkelijk naar voren kwam.
Blijkbaar volgde de inbreuk op een teleurstellend bekende "aanvalsketen":
- Iemand bij Uber heeft een heleboel broncode geรผpload naar GitHub, maar per ongeluk een map opgenomen die toegangsreferenties bevatte.
- Hackers stuitten op de gelekte inloggegevens, en gebruikten ze om toegang te krijgen tot en rond te snuffelen in Uber-gegevens die worden gehost in de cloud van Amazon.
- De aldus geschonden Amazon-servers onthulden persoonlijke informatie op meer dan 50,000,000 Uber-rijders en 7,000,000 chauffeurs, waaronder rijbewijsnummers voor ongeveer 600,000 chauffeurs en burgerservicenummers (BSN's) voor 60,000.
Ironisch genoeg gebeurde deze inbreuk terwijl Uber bezig was met een FTC-onderzoek naar een inbreuk die het in 2014 had opgelopen.
Zoals je je kunt voorstellen, moet je een massale datalek melden terwijl je bezig bent met het beantwoorden van de toezichthouder over een eerdere inbreuk, en terwijl je probeert de autoriteiten gerust te stellen dat het niet meer zal gebeuren ...
... moet een harde pil zijn om te slikken.
Inderdaad, de inbreuk in 2016 werd stil gehouden tot 2017, toen nieuw management bij Uber het verhaal onthulde en het incident toegaf.
Toen bleek dat de hackers die het jaar ervoor al die klantrecords en chauffeursgegevens hadden geรซxfiltreerd, $ 100,000 kregen om de gegevens te verwijderen en erover te zwijgen:
Vanuit regelgevend oogpunt had Uber deze inbreuk natuurlijk meteen in veel rechtsgebieden over de hele wereld moeten melden, in plaats van het meer dan een jaar te verzwijgen.
In het VK bijvoorbeeld, het Information Commissioner's Office verschillende opmerkingen gemaakt destijds:
De aankondiging van Uber over een verborgen datalek afgelopen oktober roept grote zorgen op over het beleid en de ethiek van gegevensbescherming. [2017-11-22T10:00Z]
Het is altijd de verantwoordelijkheid van het bedrijf om vast te stellen wanneer Britse burgers zijn getroffen als onderdeel van een datalek en stappen te ondernemen om eventuele schade voor consumenten te verminderen. Het opzettelijk verbergen van inbreuken voor regelgevers en burgers kan leiden tot hogere boetes voor bedrijven. [2017-11-22T17:35Z]
Uber heeft bevestigd dat het datalek in oktober 2016 ongeveer 2.7 miljoen gebruikersaccounts in het VK had getroffen. Uber heeft gezegd dat de inbreuk betrekking had op namen, mobiele telefoonnummers en e-mailadressen. [2017-11-29]
Lezers van Naked Security vroegen zich af hoe die hackerbetaling van $ 100,000 had kunnen worden gedaan zonder de zaken er nog erger uit te laten zien, en we speculeerde:
Het zal interessant zijn om te zien hoe het verhaal zich ontvouwt โ tenminste als het huidige Uber-leiderschap het in dit stadium kan ontvouwen. Ik veronderstel dat je de $100,000 zou kunnen afronden als een "bug bounty-uitbetaling", maar dan blijft het een kwestie van heel gemakkelijk voor jezelf beslissen dat het niet nodig is om het te melden.
Het lijkt erop dat dat precies is wat er is gebeurd: de inbreuk-die-op-precies-het-verkeerde-tijd-in-the-middle-of-a-inbreuk-onderzoek werd geschreven als een "bug bounty", iets dat hangt meestal af van het feit dat de eerste openbaarmaking op verantwoorde wijze wordt gedaan, en niet in de vorm van een chantage-eis.
Normaal gesproken zou een ethische bug premiejager niet eerst de gegevens stelen en zwijggeld eisen om het niet te publiceren, zoals ransomware-boeven tegenwoordig vaak doen. In plaats daarvan zou een ethische premiejager het pad documenteren dat hen naar de gegevens leidde en de zwakke plekken in de beveiliging waardoor ze toegang kregen, en misschien een heel klein maar representatief voorbeeld downloaden om zich ervan te vergewissen dat het inderdaad op afstand kan worden opgehaald. Ze zouden de gegevens dus niet in de eerste plaats verwerven om als afpersingstool te gebruiken, en elke mogelijke openbaarmaking die is overeengekomen als onderdeel van het bug bounty-proces zou de aard van het beveiligingslek onthullen, niet de daadwerkelijke gegevens die in gevaar waren geweest. (Er zijn vooraf afgesproken datums voor openbaarmaking om bedrijven voldoende tijd te geven om de problemen zelf op te lossen, terwijl ze een deadline stellen om ervoor te zorgen dat ze het probleem niet onder het tapijt vegen.)
Goed of fout?
De ophef over Uber's 'break-and-cover-up' leidde uiteindelijk tot beschuldigingen aan het adres van de CSO zelf, en hij werd beschuldigd van de bovengenoemde misdaden.
Het proces tegen Sullivan, dat iets minder dan een maand duurde, werd eind vorige week afgesloten.
De zaak trok veel belangstelling in de cyberbeveiligingsgemeenschap, niet in de laatste plaats omdat tal van cryptocurrency-bedrijven, geconfronteerd met situaties waarin hackers er met miljoenen of honderden miljoenen dollars vandoor zijn gegaan, lijken in toenemende mate (En in het openbaar) bereid om een โโzeer vergelijkbaar soort "laten we de geschiedenis van de inbreuk herschrijven" te volgen.
"Geef het geld terug dat je gestolen hebt" smeken ze, vaak in een uitwisseling van commentaren via de blockchain van de geplunderde cryptovaluta, โen we laten je een aanzienlijk deel van het geld houden als een bug bounty-betaling, en we zullen ons best doen om de wetshandhaving van je af te houden."
Als het uiteindelijke resultaat van het herschrijven van de geschiedenis van inbreuken op deze manier is dat gestolen gegevens worden verwijderd, waardoor directe schade aan de slachtoffers wordt vermeden, of dat gestolen cryptomunten die anders voor altijd verloren zouden gaan, worden teruggegeven, rechtvaardigt het doel dan de middelen?
In het geval van Sullivan besloot de jury blijkbaar, na vier dagen beraadslaging, dat het antwoord "Nee" was, en vond hem schuldig.
Er is nog geen datum vastgesteld voor de veroordeling, en we vermoeden dat Sullivan, die zelf een federale aanklager was, in beroep zal gaan.
Bekijk deze ruimte, want deze sage lijkt zeker nog interessanter te worden...
- blockchain
- vindingrijk
- cryptocurrency wallets
- cryptoexchange
- internetveiligheid
- cybercriminelen
- Cybersecurity
- Data Loss
- Department of Homeland Security
- digitale portefeuilles
- firewall
- GDPR naleving
- Kaspersky
- malware
- Mcafee
- Naakte beveiliging
- NexBLOC
- Plato
- plato ai
- Plato gegevensintelligentie
- Plato-spel
- PlatoData
- platogamen
- privacy
- Sullivan
- Uber
- VPN
- website veiligheid
- zephyrnet
