2015'ten 2017'ye kadar Uber'de Güvenlik Şefi olarak görev yapan Joe Sullivan, mahkum 2016 yılında şirketteki bir veri ihlalini örtbas etmek için ABD federal mahkemesinde dava açıldı.
Sullivan, FTC tarafından yürütülen işlemleri engellemekle suçlandı. Federal Ticaret Komisyonu, ABD tüketici hakları organı) ve yasal terminolojide kendine özgü adıyla bilinen bir suçun gizlenmesi yanlış anlama.
Jüri onu bu iki suçtan da suçlu buldu.
We ilk hakkında yazdı Geniş çapta izlenen bu davanın ardındaki ihlal, konuyla ilgili haberlerin ilk kez ortaya çıktığı Kasım 2017'de gerçekleşti.
Görünüşe göre ihlal, hayal kırıklığı yaratacak kadar tanıdık bir "saldırı zincirini" takip ediyordu:
- Uber'den biri GitHub'a bir sürü kaynak kodu yükledi, ancak yanlışlıkla erişim kimlik bilgilerini içeren bir dizin ekledi.
- Bilgisayar korsanları sızdırılan kimlik bilgilerine ulaştı ve bunları Amazon'un bulutunda barındırılan Uber verilerine erişmek ve bunları araştırmak için kullandı.
- Amazon sunucuları bu şekilde ihlal edildi ve kişisel bilgiler ortaya çıktı Yaklaşık 50,000,000 sürücünün ehliyet numarası ve 7,000,000 sürücünün sosyal güvenlik numarası (SSN) dahil olmak üzere 600,000'den fazla Uber sürücüsü ve 60,000 sürücü hakkında.
İronik bir şekilde bu ihlal, Uber'in 2014 yılında yaşadığı bir ihlale ilişkin FTC soruşturmasının sancıları içindeyken meydana geldi.
Tahmin edebileceğiniz gibi, düzenleyici kuruma daha önceki bir ihlalle ilgili yanıt verme aşamasındayken ve yetkililere bunun bir daha olmayacağına dair güvence vermeye çalışırken büyük bir veri ihlalini bildirmek zorunda kalmak…
…yutması zor bir hap olmalı.
Aslında 2016'daki ihlal, Uber'deki yeni yönetimin hikayeyi ortaya çıkardığı ve olayı kabul ettiği 2017 yılına kadar sessiz tutuldu.
İşte o zaman, bir yıl önce tüm müşteri kayıtlarını ve sürücü verilerini sızdıran bilgisayar korsanlarına, verileri silmeleri ve bu konuda sessiz kalmaları için 100,000 dolar ödendiği ortaya çıktı:
Düzenleyici açıdan bakıldığında elbette Uber'in bu ihlali bir yıldan fazla bir süre gizlemek yerine dünya çapındaki birçok yargı bölgesinde derhal bildirmesi gerekirdi.
Örneğin Birleşik Krallık'ta Bilgi Komiserliği Ofisi çeşitli yorumlar yapıldı zamanında:
Uber'in geçen Ekim ayında gizli bir veri ihlaline ilişkin duyurusu, veri koruma politikaları ve etiği konusunda büyük endişelere yol açıyor. [2017-11-22T10:00Z]
Birleşik Krallık vatandaşlarının bir veri ihlali kapsamında ne zaman etkilendiğini belirlemek ve tüketicilere gelebilecek herhangi bir zararı azaltmak için gerekli adımları atmak her zaman şirketin sorumluluğundadır. İhlallerin kasıtlı olarak düzenleyicilerden ve vatandaşlardan gizlenmesi, şirketlere daha yüksek cezalar verilmesine yol açabilir. [2017-11-22T17:35Z]
Uber, Ekim 2016'daki veri ihlalinin İngiltere'deki yaklaşık 2.7 milyon kullanıcı hesabını etkilediğini doğruladı. Uber, ihlalin isimleri, cep telefonu numaralarını ve e-posta adreslerini içerdiğini söyledi. [2017-11-29]
Çıplak Güvenlik okurları, durumu daha da kötüleştirmeden hackerların 100,000 dolarlık ödemesini nasıl yapabileceğini merak ettiler. speküle:
Hikayenin nasıl gelişeceğini görmek ilginç olacak; eğer mevcut Uber liderliği bu aşamada bunu ortaya çıkarabilirse. Sanırım 100,000 doları bir "hata ödülü ödemesi" olarak paketleyebilirsiniz, ancak bu yine de bunu bildirmenin gerekli olmadığına kendiniz karar vermeniz sorununu bırakıyor.
Öyle görünüyor ki, olan da tam olarak bu: bir ihlal soruşturmasının ortasında, tam olarak yanlış zamanda gerçekleşen ihlal, bir "hata ödülü" olarak yazılmıştı. genellikle ilk açıklamanın şantaj talebi şeklinde değil, sorumlu bir şekilde yapılmasına bağlıdır.
Tipik olarak, etik bir hata ödül avcısı, fidye yazılımı dolandırıcılarının bu günlerde sıklıkla yaptığı gibi, önce verileri çalmaz ve yayınlamamak için sus parası talep etmez. Bunun yerine, etik bir ödül avcısı, onları verilere götüren yolu ve verilere erişmelerine olanak tanıyan güvenlik zayıflıklarını belgeleyecek ve belki de gerçekten uzaktan geri alınabileceği konusunda kendilerini tatmin etmek için çok küçük ama temsili bir örnek indirecektir. Bu nedenle, ilk etapta bir gasp aracı olarak kullanmak üzere verileri elde edemeyecekler ve hata tespit sürecinin bir parçası olarak kabul edilen herhangi bir potansiyel kamuya açıklama, risk altındaki gerçek verileri değil, güvenlik açığının doğasını ortaya çıkaracaktır. (Önceden düzenlenmiş "açıklama" tarihleri, şirketlere sorunları kendi başlarına çözmeleri için yeterli zaman vermek ve bunun yerine sorunu halının altına süpürmeye çalışmamalarını sağlamak için bir son tarih belirlemek için mevcuttur.)
Doğru ya da yanlış?
Uber'in ihlali ve örtbas etmesiyle ilgili yaygara, sonunda bizzat STK'ya karşı suçlamalara yol açtı ve kendisi yukarıda belirtilen suçlarla suçlandı.
Sullivan'ın bir aydan kısa süren davası geçen hafta sonunda sonuçlandı.
Dava, siber güvenlik camiasında büyük ilgi gördü; özellikle de çok sayıda kripto para şirketinin, bilgisayar korsanlarının milyonlarca veya yüz milyonlarca dolar çaldığı durumlarla karşı karşıya kalması nedeniyle giderek (Ve alenen) çok benzer bir "hadi ihlal geçmişini yeniden yazalım" yolunu izlemeye istekli.
'Çaldığınız parayı geri verin' yağmalanan kripto para biriminin blok zinciri aracılığıyla sıklıkla yorum alışverişinde bulunarak yalvarıyorlar: "ve paranın büyük bir kısmını hata ödülü olarak tutmanıza izin vereceğiz ve emniyet güçlerini arkanızdan uzak tutmak için elimizden geleni yapacağız.”
İhlal geçmişini bu şekilde yeniden yazmanın nihai sonucu, çalınan verilerin silinmesi, böylece kurbanlara doğrudan zarar verilmesinin önlenmesi veya aksi takdirde sonsuza kadar kaybolacak olan çalıntı kripto paraların iade edilmesi olursa, amaç bu araçları haklı çıkarır mı?
Görünüşe göre Sullivan davasında jüri, dört gün süren müzakerenin ardından cevabın "Hayır" olduğuna karar verdi ve Sullivan'ı suçlu buldu.
Henüz cezanın verilmesi için bir tarih belirlenmedi ve kendisi de federal savcı olan Sullivan'ın temyize gideceğini tahmin ediyoruz.
Bu alanı izleyin, çünkü bu destan kesinlikle daha da ilginçleşecek gibi görünüyor…
- blockchain
- zeka
- cryptocurrency cüzdanlar
- kripto değişimi
- siber güvenlik
- siber suçluların
- Siber güvenlik
- Veri Kaybı
- iç güvenlik bakanlığı
- dijital cüzdanlar
- güvenlik duvarı
- GSYİH uyumluluğu
- Kaspersky
- kötü amaçlı yazılım
- Mcafee
- Çıplak Güvenlik
- NexBLOC
- Platon
- plato yapay zekası
- Plato Veri Zekası
- Plato Oyunu
- PlatoVeri
- plato oyunu
- gizlilik
- Sullivan
- Uber
- VPN
- web sitesi güvenliği
- zefirnet
