Joe Sullivan, który był dyrektorem ds. bezpieczeństwa w Uber w latach 2015-2017, został skazany w amerykańskim sądzie federalnym w celu zatuszowania naruszenia danych w firmie w 2016 r.
Sullivan został oskarżony o utrudnianie postępowania prowadzonego przez FTC ( Federalna Komisja Handlu, amerykański organ praw konsumenta) i ukrywanie przestępstwa, przestępstwa znanego w terminologii prawniczej pod osobliwą nazwą pomyłka.
Ława przysięgłych uznała go winnym obu tych przestępstw.
We pierwszy pisał o naruszenie stojące za tą szeroko obserwowaną sprawą sądową w listopadzie 2017 r., Kiedy pojawiły się na jej temat wiadomości.
Najwyraźniej naruszenie nastąpiło po rozczarowująco znajomym „łańcuchu ataków”:
- Ktoś w Uber przesłał sporo kodu źródłowego do GitHub, ale przypadkowo dołączył katalog zawierający poświadczenia dostępu.
- Hakerzy natknęli się na ujawnione dane uwierzytelniające, i używał ich do uzyskiwania dostępu do danych Ubera przechowywanych w chmurze Amazona i przeglądania ich.
- W ten sposób naruszone serwery Amazon ujawniły dane osobowe na ponad 50,000,000 7,000,000 600,000 kierowców Ubera i 60,000 XNUMX XNUMX kierowców, w tym numery prawa jazdy dla około XNUMX XNUMX kierowców i numery ubezpieczenia społecznego (SSN) dla XNUMX XNUMX.
Jak na ironię, to naruszenie miało miejsce, gdy Uber był w trakcie dochodzenia FTC w sprawie naruszenia, którego doznał w 2014 roku.
Jak możesz sobie wyobrazić, musisz zgłosić masowe naruszenie danych, gdy jesteś w trakcie odpowiadania organowi regulacyjnemu o wcześniejszym naruszeniu i gdy próbujesz zapewnić władze, że to się nie powtórzy…
…musi być trudna do przełknięcia.
Rzeczywiście, naruszenie z 2016 r. było cicho do 2017 r., Kiedy nowy zarząd Ubera odkrył tę historię i przyznał się do incydentu.
Wtedy okazało się, że hakerzy, którzy rok wcześniej wydobyli wszystkie te dane klientów i dane kierowców, otrzymali 100,000 XNUMX dolarów za usunięcie danych i milczenie na ten temat:
Oczywiście z regulacyjnego punktu widzenia Uber powinien był zgłosić to naruszenie od razu w wielu jurysdykcjach na całym świecie, zamiast ukrywać je przez ponad rok.
Na przykład w Wielkiej Brytanii Biuro Komisarza ds. Informacji różnie komentowane wtedy:
Ogłoszenie Ubera o ukrytym naruszeniu danych w październiku zeszłego roku budzi ogromne obawy dotyczące jego polityki ochrony danych i etyki. [2017-11-22T10:00Z]
Obowiązkiem firmy jest zawsze określenie, kiedy obywatele Wielkiej Brytanii ucierpieli w wyniku naruszenia danych i podjęcie kroków w celu zmniejszenia szkód wyrządzonych konsumentom. Celowe ukrywanie naruszeń przed organami regulacyjnymi i obywatelami może skutkować wyższymi karami dla firm. [2017-11-22T17:35Z]
Uber potwierdził, że naruszenie danych w październiku 2016 r. dotknęło około 2.7 miliona kont użytkowników w Wielkiej Brytanii. Uber powiedział, że naruszenie dotyczyło nazwisk, numerów telefonów komórkowych i adresów e-mail. [2017-11-29]
Czytelnicy Naked Security zastanawiali się, w jaki sposób można było dokonać płatności hakerskiej w wysokości 100,000 XNUMX USD bez pogorszenia sytuacji, a my spekulować:
Ciekawie będzie zobaczyć, jak rozwinie się ta historia – to znaczy, jeśli obecne kierownictwo Ubera może ją rozwinąć na tym etapie. Przypuszczam, że można by podsumować 100,000 XNUMX $ jako „wypłatę bug bounty”, ale to wciąż pozostawia problem z bardzo wygodnym podjęciem decyzji, że nie trzeba tego zgłaszać.
Wygląda na to, że dokładnie to się wydarzyło: naruszenie, które nastąpiło dokładnie w niewłaściwym czasie w trakcie dochodzenia w sprawie naruszenia, zostało opisane jako „nagroda za błąd”, coś, co zwykle zależy od odpowiedzialnego ujawnienia informacji, a nie w formie żądania szantażu.
Zazwyczaj etyczny łowca nagród za błędy nie najpierw kradnie danych i żąda cichych pieniędzy, aby ich nie publikować, jak często robią w dzisiejszych czasach oszuści z oprogramowaniem ransomware. Zamiast tego etyczny łowca nagród udokumentowałby ścieżkę, która doprowadziła go do danych i słabości bezpieczeństwa, które umożliwiły mu dostęp do nich, i być może pobrał bardzo małą, ale reprezentatywną próbkę, aby upewnić się, że rzeczywiście można ją odzyskać zdalnie. W ten sposób nie uzyskaliby danych w pierwszej kolejności, aby wykorzystać je jako narzędzie wymuszające, a wszelkie potencjalne publiczne ujawnienie uzgodnione w ramach procesu bug bounty ujawniłoby naturę luki w zabezpieczeniach, a nie rzeczywiste dane, które były zagrożone. (Wstępnie ustalone terminy „ujawnij do” istnieją, aby dać firmom wystarczająco dużo czasu na samodzielne rozwiązanie problemów, jednocześnie ustalając termin, aby zamiast tego nie próbowali zamiatać problemu pod dywan.)
Prawda czy fałsz?
Zamieszanie wokół włamania i tuszowania przez Ubera doprowadziło w końcu do oskarżeń przeciwko samemu GUS, który został oskarżony o wyżej wymienione przestępstwa.
Proces Sullivana, który trwał niecały miesiąc, zakończył się pod koniec ubiegłego tygodnia.
Sprawa spotkała się z dużym zainteresowaniem społeczności zajmującej się cyberbezpieczeństwem, nie tylko dlatego, że wiele firm zajmujących się kryptowalutami, które miały do czynienia z sytuacjami, w których hakerzy uciekli z milionami lub setkami milionów dolarów, wydaje się coraz bardziej (I publicznie) chcą podążać bardzo podobną ścieżką „przepiszmy historię naruszeń”.
„Oddaj pieniądze, które ukradłeś” błagają, często w wymianie komentarzy za pośrednictwem blockchaina splądrowanej kryptowaluty „a my pozwolimy ci zatrzymać znaczną ilość pieniędzy jako wypłatę bug bounty i zrobimy wszystko, co w naszej mocy, aby organy ścigania z dala od ciebie.
Jeśli ostatecznym wynikiem przepisywania historii naruszeń w ten sposób jest to, że skradzione dane zostaną usunięte, co pozwala uniknąć natychmiastowej szkody dla ofiar, lub że skradzione kryptowaluty, które w przeciwnym razie zostałyby utracone na zawsze, zostaną zwrócone, czy cel uzasadnia środki?
W przypadku Sullivana ława przysięgłych najwyraźniej zdecydowała, po czterech dniach narad, że odpowiedź brzmiała „nie” i uznała go za winnego.
Nie ustalono jeszcze daty wydania wyroku i przypuszczamy, że Sullivan, który sam był prokuratorem federalnym, wniesie apelację.
Obserwuj tę przestrzeń, bo ta saga z pewnością stanie się jeszcze ciekawsza…
- blockchain
- pomysłowość
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Utrata danych
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Zgodność z PKB
- Kaspersky
- malware
- Mcafee
- Nagie bezpieczeństwo
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- prywatność
- Sullivan
- Uber
- VPN
- zabezpieczenia stron internetowych
- zefirnet
