سابق Uber CSO کو 2016 میں میگا بریچ کو چھپانے کا مجرم قرار دیا گیا۔

جو سلیوان، جو 2015 سے 2017 تک Uber میں چیف سیکیورٹی آفیسر تھے، سزا 2016 میں کمپنی میں ڈیٹا کی خلاف ورزی کو چھپانے کی ایک امریکی وفاقی عدالت میں۔

سلیوان پر ایف ٹی سی کے ذریعے کی جانے والی کارروائی میں رکاوٹ ڈالنے کا الزام عائد کیا گیا تھا۔ فیڈرل ٹریڈ کمیشن، امریکی صارفین کے حقوق کا ادارہ)، اور کسی جرم کو چھپانا، ایک ایسا جرم جسے قانونی اصطلاح میں مخصوص نام سے جانا جاتا ہے۔ غلط فہمی.

جیوری نے اسے ان دونوں جرائم کا مجرم پایا۔

We سب سے پہلے کے بارے میں لکھا نومبر 2017 میں اس بڑے پیمانے پر دیکھے جانے والے عدالتی کیس کے پیچھے کی خلاف ورزی، جب اس کے بارے میں خبریں اصل میں سامنے آئیں۔

بظاہر، خلاف ورزی ایک مایوس کن طور پر واقف "حملے کی زنجیر" کے بعد ہوئی:

• Uber میں کسی نے GitHub پر سورس کوڈ کا ایک گروپ اپ لوڈ کیا، لیکن اتفاقی طور پر ایک ڈائریکٹری شامل کی گئی جس میں رسائی کی اسناد موجود تھیں۔
• ہیکرز نے لیک ہونے والی اسناد پر ٹھوکر کھائی، اور انہیں ایمیزون کے کلاؤڈ میں میزبان Uber ڈیٹا تک رسائی حاصل کرنے اور اس میں گھومنے کے لیے استعمال کیا۔
• اس طرح ایمیزون کے سرورز نے انکشاف کردہ ذاتی معلومات کی خلاف ورزی کی۔ 50,000,000 سے زیادہ Uber سواروں اور 7,000,000 ڈرائیوروں پر، بشمول تقریباً 600,000 ڈرائیوروں کے ڈرائیونگ لائسنس نمبر اور 60,000 کے لیے سوشل سیکیورٹی نمبر (SSNs)۔

ستم ظریفی یہ ہے کہ یہ خلاف ورزی اس وقت ہوئی جب Uber 2014 میں ہونے والی خلاف ورزی کی FTC تحقیقات کے چکر میں تھا۔

جیسا کہ آپ تصور کر سکتے ہیں، جب آپ پہلے کی خلاف ورزی کے بارے میں ریگولیٹر کو جواب دینے کے درمیان میں ہوتے ہیں تو بڑے پیمانے پر ڈیٹا کی خلاف ورزی کی اطلاع دینی پڑتی ہے، اور جب آپ حکام کو یقین دلانے کی کوشش کر رہے ہوتے ہیں کہ ایسا دوبارہ نہیں ہوگا…

… نگلنے کے لیے مشکل گولی بنتی ہے۔

درحقیقت، 2016 کی خلاف ورزی کو 2017 تک خاموش رکھا گیا، جب Uber کی نئی انتظامیہ نے اس کہانی کا پردہ فاش کیا اور واقعے کا اعتراف کیا۔

اس وقت یہ بات سامنے آئی کہ ہیکرز جنہوں نے ایک سال پہلے ان تمام صارفین کے ریکارڈ اور ڈرائیور کے ڈیٹا کو خارج کیا تھا، انہیں ڈیٹا کو حذف کرنے اور اس کے بارے میں خاموش رہنے کے لیے $100,000 ادا کیے گئے تھے۔

ریگولیٹری نقطہ نظر سے، یقیناً، Uber کو ایک سال سے زیادہ عرصے تک اسے خاموش رکھنے کے بجائے، دنیا بھر کے بہت سے دائرہ اختیار میں اس خلاف ورزی کی اطلاع فوراً دینی چاہیے۔

برطانیہ میں، مثال کے طور پر، انفارمیشن کمشنر کا دفتر مختلف تبصرہ کیا وقت پہ:

پچھلے اکتوبر میں خفیہ ڈیٹا کی خلاف ورزی کے بارے میں Uber کے اعلان نے اس کی ڈیٹا کے تحفظ کی پالیسیوں اور اخلاقیات کے بارے میں بہت زیادہ خدشات پیدا کیے ہیں۔ [2017-11-22T10:00Z]

یہ ہمیشہ کمپنی کی ذمہ داری ہے کہ وہ شناخت کرے کہ ڈیٹا کی خلاف ورزی کے ایک حصے کے طور پر برطانیہ کے شہری کب متاثر ہوئے ہیں اور صارفین کو پہنچنے والے نقصان کو کم کرنے کے لیے اقدامات کریں۔ ریگولیٹرز اور شہریوں سے جان بوجھ کر خلاف ورزیوں کو چھپانے سے کمپنیوں کے لیے زیادہ جرمانے ہو سکتے ہیں۔ [2017-11-22T17:35Z]

Uber نے اکتوبر 2016 میں اس کے ڈیٹا کی خلاف ورزی کی تصدیق کی ہے جس سے برطانیہ میں تقریباً 2.7 ملین صارف اکاؤنٹس متاثر ہوئے ہیں۔ Uber نے کہا ہے کہ خلاف ورزی میں نام، موبائل فون نمبر اور ای میل ایڈریس شامل ہیں۔ [2017-11-29]

ننگے سیکورٹی کے قارئین حیران تھے کہ معاملات کو مزید خراب کیے بغیر $100,000 ہیکر کی ادائیگی کیسے کی جا سکتی تھی، اور ہم متوقع:

یہ دیکھنا دلچسپ ہوگا کہ کہانی کیسے سامنے آتی ہے – اگر موجودہ Uber قیادت اس مرحلے پر اسے کھول سکتی ہے، یعنی۔ میرا خیال ہے کہ آپ $100,000 کو "بگ باؤنٹی پے آؤٹ" کے طور پر سمیٹ سکتے ہیں، لیکن اس کے باوجود آپ کے لیے بہت آسانی سے فیصلہ کرنے کا مسئلہ رہ جاتا ہے کہ اس کی اطلاع دینا ضروری نہیں تھا۔

ایسا لگتا ہے کہ بالکل ایسا ہی ہوا ہے: خلاف ورزی-جو-آیا-بالکل-غلط-وقت-میں-ایک-خلاف ورزی-تحقیقات کو "بگ باؤنٹی" کے طور پر لکھا گیا تھا، کچھ ایسا کہ عام طور پر ذمہ داری کے ساتھ کیے جانے والے ابتدائی انکشاف پر منحصر ہوتا ہے، نہ کہ بلیک میل کی مانگ کی صورت میں۔

عام طور پر، اخلاقی بگ باؤنٹی ہنٹر پہلے ڈیٹا چوری نہیں کرے گا اور اسے شائع نہ کرنے کے لیے خاموش رقم کا مطالبہ کرے گا، جیسا کہ ان دنوں رینسم ویئر بدمعاش اکثر کرتے ہیں۔ اس کے بجائے، ایک اخلاقی فضل کا شکاری اس راستے کو دستاویز کرے گا جس کی وجہ سے وہ ڈیٹا اور سیکیورٹی کی کمزوریوں کی طرف لے گئے جس کی وجہ سے وہ اس تک رسائی حاصل کرتے ہیں، اور شاید ایک بہت چھوٹا لیکن نمائندہ نمونہ ڈاؤن لوڈ کریں تاکہ خود کو مطمئن کیا جا سکے کہ یہ واقعی دور سے حاصل کیا جا سکتا ہے۔ اس طرح وہ بھتہ خوری کے آلے کے طور پر استعمال کرنے کے لیے پہلی جگہ ڈیٹا حاصل نہیں کریں گے، اور بگ باؤنٹی کے عمل کے حصے کے طور پر متفق ہونے والا کوئی بھی ممکنہ عوامی انکشاف سیکیورٹی ہول کی نوعیت کو ظاہر کرے گا، نہ کہ اصل ڈیٹا جو خطرے میں تھا۔ (پہلے سے ترتیب شدہ "انکشاف کریں" کی تاریخیں موجود ہیں تاکہ کمپنیوں کو اپنی مرضی سے مسائل کو حل کرنے کے لیے کافی وقت دیا جا سکے، جبکہ اس بات کو یقینی بنانے کے لیے ایک آخری تاریخ مقرر کی جاتی ہے کہ وہ اس مسئلے کو قالین کے نیچے صاف کرنے کی کوشش نہ کریں۔)

درست یا غلط؟

Uber کی خلاف ورزی اور پردہ پوشی پر ہنگامہ آرائی بالآخر خود CSO کے خلاف الزامات کا باعث بنی، اور اس پر مذکورہ جرائم کا الزام عائد کیا گیا۔

سلیوان کے مقدمے کی سماعت، جو صرف ایک ماہ سے کم عرصے تک جاری رہی، گزشتہ ہفتے کے آخر میں مکمل ہوئی۔

اس کیس نے سائبرسیکیوریٹی کمیونٹی میں کافی دلچسپی پیدا کی، کم از کم اس لیے نہیں کہ متعدد کریپٹو کرنسی کمپنیوں کو ایسے حالات کا سامنا کرنا پڑا جہاں ہیکرز لاکھوں یا سیکڑوں ملین ڈالر کما چکے ہیں۔ دن بدن (اور عوامی طور پر) اسی طرح کی "آئیے خلاف ورزی کی تاریخ کو دوبارہ لکھیں" کے راستے کی پیروی کرنے کو تیار ہیں۔

"چوری کی رقم واپس کر دو" وہ اکثر لوٹی گئی کریپٹو کرنسی کے بلاک چین کے ذریعے تبصروں کے تبادلے میں بھیک مانگتے ہیں،اور ہم آپ کو بگ باؤنٹی ادائیگی کے طور پر رقم کی ایک بڑی مقدار رکھنے دیں گے، اور ہم قانون نافذ کرنے والوں کو آپ کی پشت پناہی سے دور رکھنے کی پوری کوشش کریں گے۔"

اگر اس انداز میں خلاف ورزی کی تاریخ کو دوبارہ لکھنے کا حتمی نتیجہ یہ نکلتا ہے کہ چوری شدہ ڈیٹا حذف ہو جاتا ہے، اس طرح متاثرین کو کسی بھی فوری نقصان سے بچا جاتا ہے، یا چوری شدہ کرپٹو کوائنز جو بصورت دیگر ہمیشہ کے لیے ضائع ہو جاتے ہیں واپس مل جاتے ہیں، کیا انجام اس ذرائع کا جواز پیش کرتا ہے؟

سلیوان کے کیس میں، جیوری نے بظاہر چار دن کے غور و فکر کے بعد فیصلہ کیا کہ جواب "نہیں" تھا، اور اسے مجرم پایا۔

سزا سنانے کے لیے ابھی تک کوئی تاریخ مقرر نہیں کی گئی ہے، اور ہم اندازہ لگا رہے ہیں کہ سلیوان، جو خود ایک وفاقی پراسیکیوٹر ہوا کرتے تھے، اپیل کریں گے۔

اس جگہ کو دیکھیں، کیونکہ یہ کہانی یقینی طور پر مزید دلچسپ ہوتی نظر آتی ہے…

---