Tidligere Uber CSO dømt for å dekke over megabrudd tilbake i 2016

Joe Sullivan, som var Chief Security Officer i Uber fra 2015 til 2017, har vært dømt i en amerikansk føderal domstol for å dekke over et datainnbrudd i selskapet i 2016.

Sullivan ble siktet for å ha hindret saksgang utført av FTC (den Federal Trade Commission, det amerikanske forbrukerrettighetsorganet), og skjule en forbrytelse, en lovbrudd kjent i juridisk terminologi under det særegne navnet misfengsel.

Juryen fant ham skyldig i begge disse lovbruddene.

We først skrev om bruddet bak denne mye overvåkede rettssaken tilbake i november 2017, da nyheter om den opprinnelig dukket opp.

Tilsynelatende fulgte bruddet etter en skuffende kjent "angrepskjede":

• Noen hos Uber lastet opp en haug med kildekode til GitHub, men ved et uhell inkluderte en katalog som inneholdt tilgangslegitimasjon.
• Hackere snublet over den lekkede legitimasjonen, og brukte dem til å få tilgang til og rote rundt i Uber-data som er vert i Amazons sky.
• Amazon-serverne som dermed ble brutt avslørte personlig informasjon på mer enn 50,000,000 7,000,000 600,000 Uber-ryttere og 60,000 XNUMX XNUMX sjåfører, inkludert førerkortnumre for rundt XNUMX XNUMX sjåfører og personnummer (SSN) for XNUMX XNUMX.

Ironisk nok skjedde dette bruddet mens Uber var i gang med en FTC-etterforskning av et brudd den hadde lidd i 2014.

Som du kan forestille deg, må du rapportere et massivt datainnbrudd mens du er midt i å svare til regulatoren om et tidligere brudd, og mens du prøver å forsikre myndighetene om at det ikke vil skje igjen...

… det må være en vanskelig pille å svelge.

Faktisk ble bruddet i 2016 holdt stille til 2017, da ny ledelse i Uber avdekket historien og innrømmet hendelsen.

Det var da det viste seg at hackerne som eksfiltrerte alle disse kunderegistrene og sjåførdataene året før, ble betalt $100,000 XNUMX for å slette dataene og holde stille om det:

Fra et regulatorisk synspunkt burde selvfølgelig Uber ha rapportert dette bruddet med en gang i mange jurisdiksjoner rundt om i verden, i stedet for å stanse det i mer enn ett år.

I Storbritannia, for eksempel, Information Commissioner's Office forskjellig kommentert den gangen:

Ubers kunngjøring om et skjult datainnbrudd i oktober i fjor reiser store bekymringer rundt retningslinjer og etikk for databeskyttelse. [2017-11-22T10:00Z]

Det er alltid selskapets ansvar å identifisere når britiske statsborgere har blitt berørt som en del av et datainnbrudd og ta skritt for å redusere eventuelle skader på forbrukere. Bevisst å skjule brudd fra regulatorer og innbyggere kan få høyere bøter for bedrifter. [2017-11-22T17:35Z]

Uber har bekreftet at databruddet i oktober 2016 berørte omtrent 2.7 millioner brukerkontoer i Storbritannia. Uber har sagt at bruddet involverte navn, mobiltelefonnumre og e-postadresser. [2017-11-29]

Lesere av Naked Security lurte på hvordan hackerbetalingen på 100,000 XNUMX dollar kunne ha blitt utført uten å få saken til å se enda verre ut, og vi spekulert:

Det vil være interessant å se hvordan historien utfolder seg – hvis den nåværende Uber-ledelsen kan utfolde den på dette stadiet, altså. Jeg antar at du kan pakke inn $100,000 XNUMX som en "bug bounty-utbetaling", men det etterlater fortsatt spørsmålet om veldig praktisk å bestemme selv at det ikke var nødvendig å rapportere det.

Det ser ut til at det er akkurat det som skjedde: bruddet-som-kom-på-akkurat-feil-tidspunkt-midt-i-en-brudd-etterforskningen ble skrevet opp som en "bug bounty", noe som avhenger vanligvis av at den første avsløringen gjøres ansvarlig, og ikke i form av et utpressingskrav.

Vanligvis ville en etisk bug-premiejeger ikke stjele dataene først og kreve stille penger for ikke å publisere dem, slik ransomware-skurker ofte gjør i disse dager. I stedet ville en etisk dusørjeger dokumentere veien som førte dem til dataene og sikkerhetssvakhetene som gjorde at de fikk tilgang til dem, og kanskje laste ned et veldig lite, men representativt utvalg for å forsikre seg om at det faktisk var eksternt gjenfinnbart. Dermed ville de ikke anskaffe dataene i utgangspunktet for å bruke som et utpressingsverktøy, og enhver potensiell offentlig avsløring avtalt som en del av bug bounty-prosessen ville avsløre arten av sikkerhetshullet, ikke de faktiske dataene som hadde vært i fare. (Forhåndsarrangerte "avslør innen"-datoer finnes for å gi bedrifter nok tid til å fikse problemene på egenhånd, samtidig som de setter en frist for å sikre at de ikke prøver å feie problemet under teppet i stedet.)

Rett eller galt?

Oppstyret over Ubers brudd og tildekking førte til slutt til anklager mot CSO selv, og han ble siktet for de ovennevnte forbrytelsene.

Sullivans rettssak, som varte i underkant av en måned, ble avsluttet i slutten av forrige uke.

Saken vakte stor interesse i nettsikkerhetsfellesskapet, ikke minst fordi mange kryptovalutaselskaper, som står overfor situasjoner der hackere har kommet seg unna med millioner eller hundrevis av millioner dollar, ser ut til å stadig (Og offentlig) villig til å følge en veldig lignende type "la oss omskrive bruddhistorien".

"Gi pengene tilbake som du stjal," de tigger, ofte i en utveksling av kommentarer via blokkjeden til den plyndrede kryptovalutaen, "og vi lar deg beholde en betydelig mengde av pengene som en premieutbetaling, og vi vil gjøre vårt beste for å holde rettshåndhevelsen unna deg.»

Hvis det endelige resultatet av å omskrive bruddhistorikken på denne måten er at stjålne data blir slettet, og dermed unngår enhver umiddelbar skade på ofrene, eller at stjålne kryptomynter som ellers ville gått tapt for alltid, blir returnert, rettferdiggjør målet da midlene?

I Sullivans tilfelle bestemte juryen tilsynelatende, etter fire dagers overveielse, at svaret var "Nei", og fant ham skyldig.

Det er ennå ikke satt noen dato for straffutmålingen, og vi tipper at Sullivan, som selv pleide å være en føderal aktor, vil anke.

Se denne plassen, fordi denne sagaen ser ut til å bli enda mer interessant ...

---