Колишнього керівника компанії Uber засудили за приховування мегазлому ще в 2016 році PlatoBlockchain Data Intelligence. Вертикальний пошук. Ai.

Колишній CSO Uber був засуджений за приховування мегазлому ще в 2016 році

Джо Салліван, який був головним спеціалістом з безпеки в Uber з 2015 по 2017 рік, засуджений у федеральному суді США за приховування витоку даних у компанії в 2016 році.

Саллівану було пред'явлено звинувачення у перешкоджанні провадженню, проведеному FTC ( Федеральна торгова комісія, орган із прав споживачів США), а також приховування злочину, правопорушення, відоме в юридичній термінології під своєрідною назвою помилка.

Присяжні визнали його винним в обох цих злочинах.

We вперше написав про порушення, яке стоїть за цією судовою справою, яка широко стежила, ще в листопаді 2017 року, коли спочатку з’явилася новина про це.

Судячи з усього, злом стався за невтішно знайомим «ланцюгом атак»:

  • Хтось із Uber завантажив купу вихідного коду на GitHub, але випадково включив каталог, який містив облікові дані доступу.
  • Хакери натрапили на витік облікових даних, і використовував їх для доступу та перегляду даних Uber, розміщених у хмарі Amazon.
  • Зламані таким чином сервери Amazon розкрили особисту інформацію на більш ніж 50,000,000 7,000,000 600,000 пасажирів Uber і 60,000 XNUMX XNUMX водіїв, включаючи номери водійських прав приблизно для XNUMX XNUMX водіїв і номери соціального страхування (SSN) для XNUMX XNUMX.

За іронією долі, це порушення сталося, коли Uber розслідувало FTC порушення, яке сталося в 2014 році.

Як ви можете собі уявити, вам доводиться повідомляти про масштабну витоку даних, поки ви відповідаєте регулятору про попередні порушення, і поки ви намагаєтесь запевнити владу, що це більше не повториться…

…напевно, таблетку важко проковтнути.

Справді, про порушення 2016 року замовчували до 2017 року, коли нове керівництво Uber розкрило історію та зізналося в інциденті.

Саме тоді з’ясувалося, що хакерам, які минулого року викрали всі записи клієнтів і дані водіїв, заплатили 100,000 XNUMX доларів за те, щоб вони видалили ці дані й замовчили про це:

Звичайно, з нормативної точки зору Uber мав би негайно повідомити про це порушення в багатьох юрисдикціях по всьому світу, а не замовчувати його більше року.

У Великобританії, наприклад, Офіс інформаційного комісара по-різному коментували на час:

Оголошення Uber про приховану витоку даних у жовтні минулого року викликає серйозне занепокоєння щодо політики та етики захисту даних. [2017-11-22T10:00Z]

Компанія завжди зобов’язана визначити, коли громадяни Великої Британії постраждали внаслідок витоку даних, і вжити заходів для зменшення шкоди для споживачів. Навмисне приховування порушень від регуляторів і громадян може призвести до більших штрафів для компаній. [2017-11-22T17:35Z]

Uber підтвердив, що витік даних у жовтні 2016 року вплинув на приблизно 2.7 мільйона облікових записів користувачів у Великобританії. У Uber заявили, що порушення стосувалося імен, номерів мобільних телефонів і адрес електронної пошти. [2017]

Читачі Naked Security дивувалися, як цей хакерський платіж у розмірі 100,000 XNUMX доларів міг бути здійснений без того, щоб ситуація виглядала ще гірше, і ми спекулював:

Буде цікаво подивитися, як розгортатиметься історія – чи зможе нинішнє керівництво Uber розгорнути її на цьому етапі, тобто. Я припускаю, що ви можете загорнути 100,000 XNUMX доларів США як «виплату винагороди за помилку», але це все одно залишає проблему дуже зручного рішення для себе, що не потрібно повідомляти про це.

Здається, це саме те, що сталося: розслідування про взлом-що-трапилося-точно не в той-час-посеред-порушення-розслідування було описано як «нагорода за помилку», щось, що зазвичай залежить від того, чи первинне розкриття інформації було зроблено відповідально, а не у формі вимоги шантажу.

Як правило, етичний мисливець за головами за помилками не викраде дані першим і не вимагатиме затишних грошей, щоб не публікувати їх, як це часто роблять зараз шахраї-вимагачі. Натомість етичний мисливець за головами задокументує шлях, який привів його до даних, і недоліки безпеки, які дозволили їм отримати до них доступ, і, можливо, завантажить дуже маленький, але репрезентативний зразок, щоб переконатися, що його справді можна отримати віддалено. Таким чином, вони спочатку не отримуватимуть дані, щоб використовувати їх як інструмент вимагання, і будь-яке потенційне публічне розголошення, узгоджене в рамках процесу винагороди за помилки, розкриє природу діри в безпеці, а не фактичні дані, які були під загрозою. (Заздалегідь узгоджені дати «розкрити до» існують, щоб дати компаніям достатньо часу для вирішення проблем за власним бажанням, одночасно встановлюючи кінцевий термін, щоб гарантувати, що вони замість цього не намагатимуться замовчувати проблему.)

Правильно чи неправильно?

Метушня навколо злому та приховування Uber зрештою призвела до звинувачень проти самого CSO, і його звинуватили у вищезазначених злочинах.

Суд над Салліваном, який тривав трохи менше місяця, завершився наприкінці минулого тижня.

Цей випадок викликав великий інтерес у спільноті кібербезпеки, не в останню чергу тому, що численні криптовалютні компанії, стикаючись із ситуаціями, коли хакери втекли з мільйонами чи сотнями мільйонів доларів, все більше і більшепублічно), готові піти дуже подібним шляхом «давайте перепишемо історію порушень».

«Поверни гроші, які ти вкрав» вони благають, часто в обміні коментарями через блокчейн награбованої криптовалюти, “і ми дозволимо вам залишити значну кількість грошей як винагороду за помилку, і ми зробимо все можливе, щоб не допустити до вас правоохоронних органів».

Якщо остаточним результатом переписування історії порушень у такий спосіб є те, що викрадені дані будуть видалені, таким чином уникаючи будь-якої безпосередньої шкоди жертвам, або що викрадені криптокойни, які інакше були б втрачені назавжди, повертаються, чи мета виправдовує засоби?

У справі Саллівана присяжні, очевидно, після чотирьох днів обговорення вирішили, що відповідь була «Ні», і визнали його винним.

Дата винесення вироку ще не призначена, і ми припускаємо, що Салліван, який сам раніше був федеральним прокурором, подасть апеляцію.

Слідкуйте за цим простором, бо ця сага, здається, стане ще цікавішою…


Часова мітка:

Більше від Гола безпека