Joe Sullivan ซึ่งเป็น Chief Security Officer ของ Uber ตั้งแต่ปี 2015 ถึง 2017 ได้รับ ตัดสิน ในศาลรัฐบาลกลางสหรัฐเพื่อปกปิดการละเมิดข้อมูลที่บริษัทในปี 2016
ซัลลิแวนถูกตั้งข้อหาขัดขวางการดำเนินการของ FTC (the คณะกรรมาธิการการค้าสหภาพ, องค์กรสิทธิผู้บริโภคของสหรัฐอเมริกา) และการปกปิดความผิดทางอาญา ความผิดที่รู้จักในคำศัพท์ทางกฎหมายโดยใช้ชื่อเฉพาะของ ความผิดพลาด.
คณะลูกขุนพบว่าเขามีความผิดในความผิดทั้งสองนี้
We ครั้งแรกเขียนเกี่ยวกับ การละเมิดที่อยู่เบื้องหลังคดีในศาลที่มีคนจับตามองอย่างกว้างขวางในเดือนพฤศจิกายน 2017 เมื่อมีข่าวเกี่ยวกับคดีนี้ออกมาโดยปริยาย
เห็นได้ชัดว่าการละเมิดเป็นไปตาม "ห่วงโซ่การโจมตี" ที่คุ้นเคยอย่างน่าผิดหวัง:
- บางคนที่ Uber อัปโหลดซอร์สโค้ดจำนวนมากไปยัง GitHub แต่ รวมไดเร็กทอรีที่มีข้อมูลรับรองการเข้าถึงโดยไม่ได้ตั้งใจ
- แฮกเกอร์สะดุดกับข้อมูลประจำตัวที่รั่วไหล และใช้เพื่อเข้าถึงข้อมูล Uber ที่โฮสต์อยู่ในระบบคลาวด์ของ Amazon
- เซิร์ฟเวอร์อเมซอนจึงละเมิดเปิดเผยข้อมูลส่วนบุคคล กับผู้ขับขี่ Uber กว่า 50,000,000 คนและผู้ขับขี่ 7,000,000 คน รวมถึงหมายเลขใบขับขี่สำหรับผู้ขับขี่ประมาณ 600,000 คนและหมายเลขประกันสังคม (SSN) สำหรับ 60,000 คน
น่าแปลกที่การละเมิดนี้เกิดขึ้นในขณะที่ Uber อยู่ในระหว่างการสอบสวนของ FTC เกี่ยวกับการละเมิดที่เกิดขึ้นในปี 2014
อย่างที่คุณจินตนาการได้ คุณต้องรายงานการละเมิดข้อมูลจำนวนมากในขณะที่คุณอยู่ในระหว่างการตอบหน่วยงานกำกับดูแลเกี่ยวกับการละเมิดก่อนหน้านี้ และในขณะที่คุณกำลังพยายามให้ความมั่นใจกับหน่วยงานว่าจะไม่เกิดขึ้นอีก...
…ต้องเป็นยาเม็ดที่กลืนยาก
อันที่จริงการละเมิดในปี 2016 นั้นเงียบไปจนกระทั่งปี 2017 เมื่อผู้บริหารคนใหม่ของ Uber เปิดเผยเรื่องราวและยอมรับกับเหตุการณ์
นั่นคือเมื่อปรากฏว่าแฮ็กเกอร์ที่กรองข้อมูลลูกค้าและข้อมูลไดรเวอร์ทั้งหมดเมื่อปีก่อนได้รับเงิน 100,000 ดอลลาร์เพื่อลบข้อมูลและเก็บเงียบไว้:
จากมุมมองของกฎระเบียบ Uber ควรจะรายงานการละเมิดนี้ทันทีในเขตอำนาจศาลหลายแห่งทั่วโลก แทนที่จะปิดบังมานานกว่าหนึ่งปี
ในสหราชอาณาจักร เช่น สำนักงานกรรมาธิการสารสนเทศ แสดงความคิดเห็นที่หลากหลาย ในเวลา:
การประกาศของ Uber เกี่ยวกับการละเมิดข้อมูลปกปิดเมื่อเดือนตุลาคมที่ผ่านมาทำให้เกิดความกังวลอย่างมากเกี่ยวกับนโยบายและจริยธรรมในการปกป้องข้อมูล [2017-11-22T10:00Z]
เป็นความรับผิดชอบของบริษัทเสมอที่จะระบุว่าพลเมืองสหราชอาณาจักรได้รับผลกระทบจากการละเมิดข้อมูลเมื่อใด และดำเนินการตามขั้นตอนต่างๆ เพื่อลดอันตรายต่อผู้บริโภค การจงใจปกปิดการละเมิดจากหน่วยงานกำกับดูแลและประชาชนสามารถดึงดูดค่าปรับที่สูงขึ้นสำหรับบริษัทต่างๆ [2017-11-22T17:35Z]
Uber ได้ยืนยันการละเมิดข้อมูลในเดือนตุลาคม 2016 ส่งผลกระทบต่อบัญชีผู้ใช้ประมาณ 2.7 ล้านบัญชีในสหราชอาณาจักร Uber ได้กล่าวว่าการละเมิดดังกล่าวเกี่ยวข้องกับชื่อ หมายเลขโทรศัพท์มือถือ และที่อยู่อีเมล [2017-11-29]
ผู้อ่าน Naked Security สงสัยว่าจะมีการจ่ายเงินให้กับแฮ็กเกอร์ 100,000 ดอลลาร์ได้อย่างไรโดยไม่ทำให้เรื่องดูแย่ลงและเรา สันนิษฐาน:
เป็นเรื่องที่น่าสนใจที่จะเห็นว่าเรื่องราวจะคลี่คลายอย่างไร – หากผู้นำ Uber ในปัจจุบันสามารถเปิดเผยได้ในขั้นตอนนี้ ฉันคิดว่าคุณสามารถตัดเงิน $100,000 เป็น “การจ่ายเงินรางวัลบั๊ก” ได้ แต่นั่นยังคงทิ้งประเด็นของการตัดสินใจที่สะดวกมากสำหรับตัวคุณเองว่าไม่จำเป็นต้องรายงาน
ดูเหมือนว่านั่นคือสิ่งที่เกิดขึ้นอย่างแน่นอน: การสอบสวนการละเมิดที่มาถึงตรงเวลาที่ไม่ถูกต้องตรงกลางของการละเมิดถูกเขียนขึ้นเป็น "ค่าหัวบั๊ก" บางอย่างที่ มักจะขึ้นอยู่กับการเปิดเผยในขั้นต้นที่ทำขึ้นอย่างมีความรับผิดชอบ ไม่ใช่ในรูปแบบของความต้องการแบล็กเมล์
โดยปกติแล้ว นักล่าค่าหัวบั๊กที่มีจริยธรรมจะไม่ขโมยข้อมูลก่อนและต้องการเงินที่ปิดบังเพื่อไม่ให้เผยแพร่ เนื่องจากอาชญากรเรียกค่าไถ่มักทำในทุกวันนี้ แทนที่จะเป็นเช่นนั้น นักล่าค่าหัวที่มีจริยธรรมจะบันทึกเส้นทางที่นำไปสู่ข้อมูลและจุดอ่อนด้านความปลอดภัยที่อนุญาตให้เข้าถึงได้ และอาจดาวน์โหลดตัวอย่างขนาดเล็กมากแต่เป็นตัวแทนเพื่อให้มั่นใจว่าสามารถเรียกข้อมูลจากระยะไกลได้อย่างแท้จริง ดังนั้นพวกเขาจะไม่ได้รับข้อมูลตั้งแต่แรกเพื่อใช้เป็นเครื่องมือในการกรรโชก และการเปิดเผยต่อสาธารณะใดๆ ที่อาจเกิดขึ้นซึ่งตกลงกันไว้ซึ่งเป็นส่วนหนึ่งของกระบวนการให้รางวัลบั๊กจะเปิดเผยลักษณะของช่องโหว่ด้านความปลอดภัย ไม่ใช่ข้อมูลจริงที่มีความเสี่ยง (วันที่ "เปิดเผยภายใน" ที่จัดเตรียมไว้ล่วงหน้าเพื่อให้บริษัทมีเวลาเพียงพอในการแก้ไขปัญหาตามข้อตกลงของตนเอง ในขณะเดียวกันก็กำหนดเส้นตายเพื่อให้แน่ใจว่าพวกเขาจะไม่พยายามเก็บกวาดปัญหาไว้ใต้พรมแทน)
ถูกหรือผิด?
ความยุ่งยากในการฝ่าฝืนและปกปิดของ Uber ในที่สุดก็นำไปสู่การกล่าวหา CSO ด้วยตัวเอง และเขาถูกตั้งข้อหาก่ออาชญากรรมดังกล่าว
การพิจารณาคดีของซัลลิแวนซึ่งกินเวลาไม่ถึงเดือนได้ข้อสรุปเมื่อปลายสัปดาห์ที่แล้ว
คดีนี้ได้รับความสนใจอย่างมากในชุมชนความปลอดภัยทางไซเบอร์ ไม่น้อยเพราะบริษัทคริปโตเคอเรนซีจำนวนมากต้องเผชิญกับสถานการณ์ที่แฮ็กเกอร์ทำเงินหลายล้านหรือหลายร้อยล้านดอลลาร์ได้ ขึ้น (และ สาธารณชน) เต็มใจที่จะปฏิบัติตามเส้นทาง "มาเขียนประวัติการละเมิดใหม่" ที่คล้ายกันมาก
“คืนเงินที่คุณขโมยมา” พวกเขาขอร้องบ่อยครั้งในการแลกเปลี่ยนความคิดเห็นผ่าน blockchain ของ cryptocurrency ที่ถูกปล้น "และเราจะให้คุณเก็บเงินจำนวนมากไว้เป็นเงินรางวัลข้อผิดพลาด และเราจะพยายามอย่างเต็มที่เพื่อป้องกันไม่ให้คุณบังคับใช้กฎหมาย”
หากผลลัพธ์ขั้นสุดท้ายของการเขียนประวัติการละเมิดในลักษณะนี้ก็คือข้อมูลที่ถูกขโมยไปถูกลบ ดังนั้นจึงเลี่ยงไม่ให้เกิดอันตรายต่อผู้ที่ตกเป็นเหยื่อในทันที หรือ cryptocoin ที่ถูกขโมยไปซึ่งจะสูญหายไปตลอดกาลจะได้รับการส่งคืน
ในกรณีของซัลลิแวน คณะลูกขุนได้ตัดสินหลังจากพิจารณาสี่วันแล้วว่าคำตอบคือ "ไม่" และพบว่าเขามีความผิด
ยังไม่มีการกำหนดวันที่สำหรับการพิจารณาคดี และเราเดาว่าซัลลิแวน ซึ่งตัวเองเคยเป็นอัยการรัฐบาลกลาง จะอุทธรณ์
ดูพื้นที่นี้เพราะนิยายเรื่องนี้ดูเหมือนจะน่าสนใจมากขึ้น…
- blockchain
- เหรียญอัจฉริยะ
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- ข้อมูลสูญหาย
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- การปฏิบัติตาม GDPR
- Kaspersky
- มัลแวร์
- แมคคาฟี
- ความปลอดภัยเปล่า
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- ความเป็นส่วนตัว
- ซัลลิแวน
- Uber
- VPN
- ความปลอดภัยของเว็บไซต์
- ลมทะเล
