Nekdanji Uberjev CSO obsojen zaradi prikrivanja megavloma že leta 2016

Joe Sullivan, ki je bil od leta 2015 do 2017 glavni varnostnik pri Uberju, je bil obsojen na ameriškem zveznem sodišču zaradi prikrivanja kršitve podatkov v podjetju leta 2016.

Sullivan je bil obtožen oviranja postopka, ki ga je vodil FTC ( Zvezna komisija za trgovino, ameriški organ za pravice potrošnikov) in prikrivanje kaznivega dejanja, kaznivo dejanje, ki je v pravni terminologiji znano pod posebnim imenom napačna zastava.

Porota ga je spoznala za krivega obeh kaznivih dejanj.

We prvi pisal o kršitev, ki stoji za tem zelo gledanim sodnim primerom novembra 2017, ko so se prvotno pojavile novice o tem.

Očitno je kršitev sledila razočarano znani "napadni verigi":

• Nekdo pri Uberju je naložil kup izvorne kode na GitHub, vendar pomotoma vključil imenik, ki je vseboval poverilnice za dostop.
• Hekerji so naleteli na razkrite poverilnice, in jih uporabil za dostop in brskanje po podatkih Uber, ki gostujejo v Amazonovem oblaku.
• Amazonovi strežniki, ki so tako vdrli, so razkrili osebne podatke na več kot 50,000,000 voznikih Uberja in 7,000,000 voznikih, vključno s številkami vozniškega dovoljenja za približno 600,000 voznikov in številkami socialnega zavarovanja (SSN) za 60,000.

Ironično je, da se je ta kršitev zgodila, ko je bil Uber v fazi preiskave FTC o kršitvi, do katere je prišlo leta 2014.

Kot si lahko predstavljate, morate prijaviti obsežno kršitev podatkov, medtem ko ste sredi odgovarjanja regulatorju o prejšnji kršitvi in ​​medtem ko skušate zagotoviti oblastem, da se to ne bo ponovilo ...

... mora biti tableta težka za pogoltniti.

Pravzaprav je bila kršitev iz leta 2016 zamolčana do leta 2017, ko je novo vodstvo Uberja razkrilo zgodbo in priznalo incident.

Takrat se je izkazalo, da so hekerji, ki so leto poprej izbrskali vse te evidence strank in podatke o voznikih, prejeli 100,000 dolarjev, da so podatke izbrisali in o njih molčali:

Z regulativnega vidika bi Uber seveda moral to kršitev prijaviti takoj v številnih jurisdikcijah po svetu, namesto da bi jo zamolčal več kot eno leto.

V Veliki Britaniji na primer Urad informacijskega pooblaščenca različno komentiral ob uri:

Uberjeva objava o prikriti kršitvi podatkov oktobra lani sproža velike pomisleke glede njegove politike varstva podatkov in etike. [2017-11-22T10:00Z]

Podjetje je vedno odgovorno, da ugotovi, kdaj so bili državljani Združenega kraljestva prizadeti kot del kršitve podatkov, in sprejme ukrepe za zmanjšanje škode za potrošnike. Namerno prikrivanje kršitev pred regulatorji in državljani bi lahko pritegnilo višje kazni za podjetja. [2017-11-22T17:35Z]

Uber je potrdil, da je njegova kršitev podatkov oktobra 2016 vplivala na približno 2.7 milijona uporabniških računov v Združenem kraljestvu. Uber je dejal, da je kršitev vključevala imena, številke mobilnih telefonov in elektronske naslove. [2017]

Bralci Naked Security so se spraševali, kako je bilo mogoče to hekersko plačilo v višini 100,000 dolarjev izvesti, ne da bi zadeve izgledale še hujše, in mi špekulirajo:

Zanimivo bo videti, kako se bo zgodba razpletla – če jo lahko trenutno vodstvo Uberja razplete na tej stopnji, to je. Predvidevam, da bi lahko zavili 100,000 $ kot "izplačilo nagrade za hrošče", vendar to še vedno pušča vprašanje, kako se zelo priročno sami odločiti, da tega ni bilo treba prijaviti.

Zdi se, da se je točno to zgodilo: kršitev-ki-je-prišla-ob-točno-napačnem-času-sredi-preiskave-kršitve je bila zapisana kot "nagrada za hrošče", nekaj, kar običajno je odvisno od tega, ali je prvotno razkritje izvedeno odgovorno in ne v obliki izsiljevalske zahteve.

Običajno etični lovec na glave za hrošče ne bi najprej ukradel podatkov in zahteval tihega denarja, da jih ne bi objavili, kot dandanes pogosto počnejo prevaranti z izsiljevalsko programsko opremo. Namesto tega bi etični lovec na glave dokumentiral pot, ki ga je pripeljala do podatkov, in varnostne pomanjkljivosti, ki so mu omogočile dostop do njih, ter morda prenesel zelo majhen, a reprezentativen vzorec, da bi se prepričal, da ga je res mogoče pridobiti na daljavo. Tako ne bi pridobili podatkov na prvem mestu, da bi jih uporabili kot orodje za izsiljevanje, in morebitno javno razkritje, dogovorjeno kot del postopka nagrade za hrošče, bi razkrilo naravo varnostne luknje, ne pa dejanskih podatkov, ki so bili ogroženi. (Vnaprej dogovorjeni datumi »razkriti do« obstajajo, da imajo podjetja dovolj časa, da sama odpravijo težave, hkrati pa določijo rok, da zagotovijo, da težave ne bodo poskušala pomesti pod preprogo.)

Prav ali narobe?

Hrup okoli Uberjevega vdora in prikrivanja je sčasoma pripeljal do obtožb proti samemu CSO in obtožen je bil zgoraj navedenih kaznivih dejanj.

Slab mesec dni trajajoče sojenje Sullivanu se je končalo konec prejšnjega tedna.

Primer je vzbudil veliko zanimanja v skupnosti kibernetske varnosti, nenazadnje tudi zato, ker se zdi, da se številna podjetja za kriptovalute soočajo s situacijami, ko so hekerji pobegnili z milijoni ali stotinami milijonov dolarjev. vedno (In javno) pripravljeni slediti zelo podobni poti »prepišimo zgodovino kršitev«.

"Vrni denar, ki si ga ukradel," prosijo, pogosto v izmenjavi komentarjev prek verige blokov naropane kriptovalute, "in dovolili vam bomo, da obdržite precejšnjo količino denarja kot nagrado za hrošče, in naredili bomo vse, kar je v naši moči, da vam preprečimo pregon.«

Če je končni rezultat ponovnega pisanja zgodovine kršitev na ta način ta, da se ukradeni podatki izbrišejo, s čimer se izogne ​​kakršni koli takojšnji škodi žrtvam, ali da se vrnejo ukradeni kriptovaluti, ki bi bili sicer za vedno izgubljeni, ali cilj opravičuje sredstva?

V Sullivanovem primeru se je porota po štirih dneh posvetovanja očitno odločila, da je odgovor "ne", in ga spoznala za krivega.

Datum obsodbe še ni bil določen in ugibamo, da se bo Sullivan, ki je bil tudi sam nekoč zvezni tožilec, pritožil.

Oglejte si ta prostor, saj se zdi, da bo ta saga zagotovo še bolj zanimiva ...

---