Joe Sullivan, care a fost Chief Security Officer la Uber din 2015 până în 2017, a fost condamnat într-o instanță federală din SUA care a acoperit o încălcare a datelor la companie în 2016.
Sullivan a fost acuzat de obstrucţionarea procedurilor desfăşurate de FTC (la Comisia Federală de Comerț, organismul american pentru drepturile consumatorilor) și ascunderea unei infracțiuni, o infracțiune cunoscută în terminologia juridică sub numele specific de misprision.
Juriul l-a găsit vinovat de ambele infracțiuni.
We a scris prima dată despre încălcarea din spatele acestui caz în instanță urmărit pe scară largă în noiembrie 2017, când au apărut inițial știri despre acesta.
Aparent, încălcarea a urmat un „lanț de atac” dezamăgitor de familiar:
- Cineva de la Uber a încărcat o grămadă de cod sursă pe GitHub, dar a inclus accidental un director care conținea acreditări de acces.
- Hackerii au dat peste acreditările scurse, și le-a folosit pentru a accesa și a căuta în datele Uber găzduite în cloud-ul Amazon.
- Serverele Amazon astfel încălcate au dezvăluit informații personale pentru peste 50,000,000 de călători Uber și 7,000,000 de șoferi, inclusiv numerele de permis de conducere pentru aproximativ 600,000 de șoferi și numerele de securitate socială (SSN) pentru 60,000.
În mod ironic, această încălcare a avut loc în timp ce Uber era în chinurile unei investigații FTC cu privire la o încălcare pe care a suferit-o în 2014.
După cum vă puteți imagina, trebuie să raportați o încălcare masivă a datelor în timp ce răspundeți autorităților de reglementare despre o încălcare anterioară și în timp ce încercați să asigurați autoritățile că nu se va întâmpla din nou...
…trebuie să fie o pastilă greu de înghițit.
Într-adevăr, încălcarea din 2016 a fost tăcută până în 2017, când noua conducere de la Uber a dezvăluit povestea și a recunoscut incidentul.
Atunci a reieșit că hackerii care au exfiltrat toate acele înregistrări ale clienților și datele șoferilor cu un an înainte au fost plătiți cu 100,000 de dolari pentru a șterge datele și a păstra tăcerea despre asta:
Din punct de vedere al reglementării, bineînțeles, Uber ar fi trebuit să raporteze această încălcare imediat în multe jurisdicții din întreaga lume, mai degrabă decât să o atenueze mai mult de un an.
În Marea Britanie, de exemplu, Biroul Comisarului pentru Informații variat comentat atunci:
Anunțul Uber cu privire la o încălcare ascunsă a datelor în octombrie anul trecut ridică îngrijorări uriașe cu privire la politicile și etica de protecție a datelor. [2017-11-22T10:00Z]
Este întotdeauna responsabilitatea companiei să identifice când cetățenii Regatului Unit au fost afectați ca parte a unei încălcări a datelor și să ia măsuri pentru a reduce orice prejudiciu adus consumatorilor. Ascunderea deliberată a încălcărilor de la autoritățile de reglementare și de la cetățeni ar putea atrage amenzi mai mari pentru companii. [2017-11-22T17:35Z]
Uber a confirmat că încălcarea datelor din octombrie 2016 a afectat aproximativ 2.7 milioane de conturi de utilizatori în Marea Britanie. Uber a spus că încălcarea a implicat nume, numere de telefon mobil și adrese de e-mail. [2017-11-29]
Cititorii Naked Security s-au întrebat cum s-ar fi putut face acea plată de hacker de 100,000 USD fără a înrăutăți lucrurile și noi speculat:
Va fi interesant de văzut cum se desfășoară povestea – dacă actuala conducere a Uber o poate desfășura în acest stadiu, adică. Presupun că ai putea include cei 100,000 USD ca o „plată recompensă pentru erori”, dar asta lasă totuși problema de a decide în mod convenabil pentru tine că nu a fost necesar să o raportezi.
Se pare că exact asta s-a întâmplat: încălcarea-care-a-venit-exact-la-momentul-nepotrivit-în-mijlocul-o-o-investigație-încălcare a fost scrisă ca o „recompensă pentru bug-uri”, ceva care depinde de obicei de dezvăluirea inițială făcută în mod responsabil și nu sub forma unei cereri de șantaj.
De obicei, un vânător de recompense etic nu ar fura mai întâi datele și nu ar cere bani pentru a nu le publica, așa cum fac adesea escrocii de ransomware în zilele noastre. În schimb, un vânător de recompense etic ar documenta calea care i-a condus către date și punctele slabe de securitate care le-au permis să le acceseze și poate descărca un eșantion foarte mic, dar reprezentativ, pentru a se convinge că este într-adevăr recuperabil de la distanță. Astfel, ei nu ar dobândi datele în primul rând pentru a le folosi ca instrument de extorcare, iar orice potențială dezvăluire publică convenită ca parte a procesului de recompensă pentru erori ar dezvălui natura găurii de securitate, nu datele reale care au fost în pericol. (Există date pre-aranjate de „dezvăluire până la” pentru a oferi companiilor suficient timp pentru a rezolva problemele de la sine, stabilind în același timp un termen limită pentru a se asigura că nu încearcă în schimb să măture problema sub covor.)
Corect sau greșit?
Tulburarea legată de încălcarea și mușamalizarea Uber a dus în cele din urmă la acuzații împotriva OSC-ului însuși, iar el a fost acuzat de crimele menționate mai sus.
Procesul lui Sullivan, care a durat puțin sub o lună, s-a încheiat la sfârșitul săptămânii trecute.
Cazul a atras mult interes în comunitatea de securitate cibernetică, nu în ultimul rând pentru că numeroase companii de criptomonede, confruntate cu situații în care hackerii au scapat cu milioane sau sute de milioane de dolari, par tot mai mult (Și public) dispus să urmeze un fel foarte asemănător de cale „să rescriem istoricul încălcării”.
„Dă banii înapoi pe care i-ai furat” ei imploră, adesea într-un schimb de comentarii prin intermediul blockchain-ului criptomonedei jefuite, „și vă vom permite să păstrați o cantitate considerabilă din bani ca recompensă pentru erori și vom face tot posibilul pentru a ține forțele de ordine în spate.”
Dacă rezultatul final al rescrierii istoricului încălcării în acest mod este că datele furate sunt șterse, evitând astfel orice vătămare imediată a victimelor, sau că criptomonedele furate care altfel ar fi pierdute pentru totdeauna vor fi returnate, oare scopul justifică mijloacele?
În cazul lui Sullivan, se pare că juriul a decis, după patru zile de deliberare, că răspunsul a fost „Nu”, și l-a găsit vinovat.
Nu a fost încă stabilită o dată pentru sentință și presupunem că Sullivan, care a fost el însuși procuror federal, va face recurs.
Urmărește acest spațiu, pentru că această saga pare sigur că va deveni și mai interesantă...
- blockchain
- coingenius
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- pierderi de date
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Respectarea GDPR
- Kaspersky
- malware
- McAfee
- Securitate goală
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- intimitate
- Sullivan
- Uber
- VPN
- securitatea site-ului
- zephyrnet
