Former Uber CSO Convicted Of Covering Up Megabreach Back In 2016

by
Écrivain Naked Security

Joe Sullivan, qui était chef de la sécurité chez Uber de 2015 à 2017, a été condamné devant un tribunal fédéral américain pour avoir dissimulé une violation de données dans l'entreprise en 2016.

Sullivan a été accusé d'entrave aux procédures menées par la FTC (la Federal Trade Commission, l'organisme américain de défense des droits des consommateurs), et la dissimulation d'un crime, un délit connu dans la terminologie juridique sous le nom particulier de méprise.

Le jury l'a déclaré coupable de ces deux infractions.

We a écrit pour la première fois sur la brèche derrière cette affaire judiciaire très suivie en novembre 2017, lorsque la nouvelle à ce sujet a été initialement publiée.

Apparemment, la brèche a suivi une « chaîne d’attaques » familière et décevante :

Quelqu'un chez Uber a téléchargé un tas de code source sur GitHub, mais a accidentellement inclus un répertoire contenant les informations d'identification d'accès.
Les pirates sont tombés sur les informations d'identification divulguées, et les a utilisés pour accéder et fouiller dans les données Uber hébergées dans le cloud d'Amazon.
Les serveurs d'Amazon ainsi piratés ont révélé des informations personnelles sur plus de 50,000,000 7,000,000 600,000 d'usagers Uber et 60,000 XNUMX XNUMX de chauffeurs, y compris les numéros de permis de conduire pour environ XNUMX XNUMX chauffeurs et les numéros de sécurité sociale (SSN) pour XNUMX XNUMX.

Ironiquement, cette violation s'est produite alors qu'Uber était en proie à une enquête de la FTC sur une violation dont elle avait été victime en 2014.

Comme vous pouvez l’imaginer, devoir signaler une violation massive de données alors que vous êtes en train de répondre au régulateur au sujet d’une violation antérieure, et pendant que vous essayez de rassurer les autorités sur le fait que cela ne se reproduira plus…

… ça doit être une pilule difficile à avaler.

En effet, la violation de 2016 est restée secrète jusqu'en 2017, lorsque la nouvelle direction d'Uber a découvert l'histoire et admis l'incident.

C’est à ce moment-là qu’il est apparu que les pirates informatiques qui avaient exfiltré tous ces dossiers clients et données de chauffeurs l’année précédente avaient été payés 100,000 XNUMX $ pour supprimer les données et garder le silence à ce sujet :

D’un point de vue réglementaire, bien entendu, Uber aurait dû signaler cette violation immédiatement dans de nombreuses juridictions à travers le monde, plutôt que de la taire pendant plus d’un an.

Au Royaume-Uni, par exemple, l’Information Commissioner’s Office diversement commenté à l'époque:

L’annonce par Uber d’une violation de données dissimulée en octobre dernier soulève d’énormes inquiétudes quant à ses politiques et à son éthique en matière de protection des données. [2017-11-22T10:00Z]

Il est toujours de la responsabilité de l’entreprise d’identifier les citoyens britanniques qui ont été touchés dans le cadre d’une violation de données et de prendre des mesures pour réduire tout préjudice causé aux consommateurs. Le fait de dissimuler délibérément des violations aux régulateurs et aux citoyens pourrait entraîner des amendes plus élevées pour les entreprises. [2017-11-22T17:35Z]

Uber a confirmé que sa violation de données en octobre 2016 a touché environ 2.7 millions de comptes d'utilisateurs au Royaume-Uni. Uber a déclaré que la violation concernait des noms, des numéros de téléphone portable et des adresses e-mail. [2017-11-29]

Les lecteurs de Naked Security se demandaient comment ce paiement de 100,000 XNUMX $ par un pirate informatique aurait pu être effectué sans aggraver la situation, et nous spéculé:

Il sera intéressant de voir comment l’histoire se déroulera – si la direction actuelle d’Uber peut la dévoiler à ce stade, bien sûr. Je suppose que vous pourriez envelopper les 100,000 XNUMX $ comme un « paiement de prime aux bogues », mais cela laisse encore la question de décider très commodément par vous-même qu’il n’était pas nécessaire de le signaler.

Il semble que c'est exactement ce qui s'est produit : la brèche qui s'est produite exactement au mauvais moment au milieu d'une enquête sur la brèche a été décrite comme une « prime aux bogues », quelque chose qui Cela dépend généralement du fait que la divulgation initiale soit faite de manière responsable et non sous la forme d'une demande de chantage.

En règle générale, un chasseur de bug bounty éthique ne volerait pas d’abord les données et n’exigerait pas de l’argent secret pour ne pas les publier, comme le font souvent les escrocs de ransomwares de nos jours. Au lieu de cela, un chasseur de primes éthique documenterait le chemin qui l’a conduit aux données et les failles de sécurité qui lui ont permis d’y accéder, et téléchargerait peut-être un échantillon très petit mais représentatif pour s’assurer qu’il était effectivement récupérable à distance. Ainsi, ils n’acquerraient pas les données en premier lieu pour les utiliser comme outil d’extorsion, et toute divulgation publique potentielle convenue dans le cadre du processus de bug bounty révélerait la nature de la faille de sécurité, et non les données réelles qui étaient menacées. (Des dates de « divulgation » prédéfinies existent pour donner aux entreprises suffisamment de temps pour résoudre les problèmes de leur propre gré, tout en fixant un délai pour s'assurer qu'elles n'essaient pas plutôt de balayer le problème sous le tapis.)

Vrai ou faux?

L’agitation suscitée par la violation et la dissimulation d’Uber a finalement conduit à des accusations contre le CSO lui-même, et il a été inculpé des crimes susmentionnés.

Le procès de Sullivan, qui a duré un peu moins d’un mois, s’est terminé à la fin de la semaine dernière.

L'affaire a suscité beaucoup d'intérêt dans la communauté de la cybersécurité, notamment parce que de nombreuses sociétés de cryptomonnaie, confrontées à des situations dans lesquelles des pirates ont empoché des millions, voire des centaines de millions de dollars, semblent de plus en plus (Et publiquement) disposé à suivre une voie très similaire consistant à « réécrire l’historique des violations ».

"Rendez l'argent que vous avez volé" ils supplient, souvent dans un échange de commentaires via la blockchain de la cryptomonnaie pillée, «et nous vous laisserons conserver une quantité importante d’argent en guise de paiement de bug bounty, et nous ferons de notre mieux pour garder les forces de l’ordre à votre disposition.

Si le résultat final de la réécriture de l’historique des violations de cette manière est que les données volées sont supprimées, évitant ainsi tout préjudice immédiat aux victimes, ou que les cryptocoins volés qui autrement seraient perdus à jamais soient restitués, la fin justifie-t-elle les moyens ?

Dans le cas de Sullivan, le jury a apparemment décidé, après quatre jours de délibérations, que la réponse était « non » et l’a déclaré coupable.

Aucune date n’a encore été fixée pour le prononcé de la peine, et nous pensons que Sullivan, qui a lui-même été procureur fédéral, fera appel.

Surveillez cet espace, car cette saga semble sûrement devenir encore plus intéressante…

Intelligence de données générative

L'ancien CSO d'Uber reconnu coupable d'avoir dissimulé une mégabrèche en 2016

Vrai ou faux?

Examen des Green Acres CBD Gummies : produit sûr ou ingrédients faibles ? – Connexion au programme de marijuana médicale

Introduction au traitement du langage naturel [Cours PNL gratuit]

Dernières informations

ESL Challenger Melbourne 2024 : scores, classements et plus – Snowball Esports

Le vol d’essai en équipage du Starliner réussit l’examen clé

Notes du repêchage de la NFL 2024

Mise à jour : BAE Systems présente les progrès de la frégate de type 26 dans un contexte de pénurie de métallurgistes

Ethereum, Solana et Altcoins approchent de la « zone banane », selon le gourou du macro Raoul Pal – Voici ses perspectives – The Daily Hodl

Refinanzierung bestehender Kredit opportunité de financement participatif pitch de projet par Swisspeers

Discutez avec nous