Former Uber CSO Convicted Of Covering Up Megabreach Back In 2016

by
Scrittore di sicurezza nudo

Joe Sullivan, che è stato Chief Security Officer di Uber dal 2015 al 2017, è stato condannato in un tribunale federale degli Stati Uniti per aver coperto una violazione dei dati avvenuta presso l’azienda nel 2016.

Sullivan è stato accusato di aver ostacolato i procedimenti condotti dalla FTC (the Federal Trade Commission, l'ente statunitense per i diritti dei consumatori), e l'occultamento di un reato, un reato conosciuto nella terminologia giuridica con il peculiare nome di errore di valutazione.

La giuria lo ha ritenuto colpevole di entrambi questi reati.

We ha scritto per la prima volta la violazione dietro questo caso giudiziario ampiamente seguito nel novembre 2017, quando originariamente emersero notizie al riguardo.

Apparentemente, la violazione ha seguito una “catena di attacco” deludentemente familiare:

Qualcuno di Uber ha caricato un sacco di codice sorgente su GitHub, ma incluso accidentalmente una directory che conteneva credenziali di accesso.
Gli hacker si sono imbattuti nelle credenziali trapelate, e li abbiamo usati per accedere e curiosare nei dati Uber ospitati nel cloud di Amazon.
I server Amazon così violati hanno rivelato informazioni personali su oltre 50,000,000 di utenti Uber e 7,000,000 di autisti, compresi i numeri di patente di guida per circa 600,000 autisti e i numeri di previdenza sociale (SSN) per 60,000.

Ironicamente, questa violazione è avvenuta mentre Uber era alle prese con un’indagine della FTC su una violazione subita nel 2014.

Come puoi immaginare, dover segnalare una massiccia violazione dei dati mentre stai rispondendo all'autorità di regolamentazione su una violazione precedente e mentre stai cercando di rassicurare le autorità che non si ripeterà...

…deve essere una pillola difficile da digerire.

In effetti, la violazione del 2016 è stata tenuta segreta fino al 2017, quando il nuovo management di Uber ha scoperto la storia e ha ammesso l’incidente.

È stato allora che è emerso che gli hacker che avevano esfiltrato tutti i dati dei clienti e dei conducenti l'anno prima erano stati pagati 100,000 dollari per cancellare i dati e tacere al riguardo:

Da un punto di vista normativo, ovviamente, Uber avrebbe dovuto segnalare immediatamente questa violazione in molte giurisdizioni in tutto il mondo, piuttosto che tenerla nascosta per più di un anno.

Nel Regno Unito, ad esempio, l'ufficio del commissario per l'informazione variamente commentato al tempo:

L'annuncio di Uber di una violazione nascosta dei dati lo scorso ottobre solleva enormi preoccupazioni riguardo alle sue politiche ed etiche di protezione dei dati. [2017T11-22:10Z]

È sempre responsabilità dell'azienda identificare quando i cittadini del Regno Unito sono stati colpiti come parte di una violazione dei dati e adottare misure per ridurre eventuali danni ai consumatori. Nascondere deliberatamente le violazioni alle autorità di regolamentazione e ai cittadini potrebbe comportare sanzioni più elevate per le aziende. [2017T11-22:17Z]

Uber ha confermato che la violazione dei dati avvenuta nell’ottobre 2016 ha colpito circa 2.7 milioni di account utente nel Regno Unito. Uber ha affermato che la violazione ha coinvolto nomi, numeri di cellulare e indirizzi e-mail. [2017-11-29]

I lettori di Naked Security si sono chiesti come sarebbe stato possibile effettuare il pagamento di 100,000 dollari da parte degli hacker senza che le cose sembrassero ancora peggiori, e noi speculato:

Sarà interessante vedere come si svolgerà la storia, se l'attuale leadership di Uber riuscirà a spiegarla in questa fase, ovviamente. Suppongo che potresti racchiudere i $ 100,000 come un "pagamento bug bounty", ma ciò lascia comunque il problema di decidere molto convenientemente da solo che non era necessario segnalarlo.

Sembra che sia esattamente quello che è successo: la violazione avvenuta esattamente nel momento sbagliato nel bel mezzo di un'indagine sulla violazione è stata descritta come un "bug bounty", qualcosa che di solito dipende dalla divulgazione iniziale effettuata in modo responsabile e non sotto forma di richiesta di ricatto.

In genere, un cacciatore di taglie di bug etico non ruberebbe prima i dati e non chiederebbe soldi per non pubblicarli, come spesso fanno i truffatori di ransomware al giorno d'oggi. Invece, un cacciatore di taglie etico documenterebbe il percorso che lo ha portato ai dati e i punti deboli della sicurezza che hanno consentito loro di accedervi, e magari scaricherebbe un campione molto piccolo ma rappresentativo per accertarsi che fosse effettivamente recuperabile da remoto. Pertanto non acquisirebbero i dati in primo luogo da utilizzare come strumento di estorsione, e qualsiasi potenziale divulgazione pubblica concordata come parte del processo di bug bounty rivelerebbe la natura della falla di sicurezza, non i dati effettivi che erano a rischio. (Esistono date prestabilite di "divulgazione entro" per dare alle aziende abbastanza tempo per risolvere i problemi di propria iniziativa, fissando al tempo stesso una scadenza per garantire che non cerchino invece di nascondere la questione sotto il tappeto.)

Giusto o sbagliato?

Il clamore suscitato dalla violazione e dall'insabbiamento di Uber alla fine portò ad accuse contro lo stesso CSO, che fu accusato dei crimini sopra menzionati.

Il processo di Sullivan, durato poco meno di un mese, si è concluso alla fine della scorsa settimana.

Il caso ha suscitato molto interesse nella comunità della sicurezza informatica, anche perché numerose società di criptovalute, di fronte a situazioni in cui gli hacker sono fuggiti con milioni o centinaia di milioni di dollari, sembrano sempre più (E pubblicamente) disposti a seguire una sorta di percorso molto simile di "riscriviamo la storia delle violazioni".

"Restituisci i soldi che hai rubato" chiedono, spesso in uno scambio di commenti attraverso la blockchain della criptovaluta saccheggiata, “e ti lasceremo trattenere una notevole quantità di denaro come pagamento della ricompensa per i bug, e faremo del nostro meglio per tenere lontane le forze dell'ordine.

Se il risultato finale della riscrittura della cronologia delle violazioni in questo modo è che i dati rubati vengano cancellati, evitando così qualsiasi danno immediato alle vittime, o che le criptomonete rubate che altrimenti andrebbero perse per sempre vengano restituite, il fine giustifica i mezzi?

Nel caso di Sullivan, la giuria apparentemente ha deciso, dopo quattro giorni di deliberazione, che la risposta era “No” e lo ha ritenuto colpevole.

Non è stata ancora fissata alcuna data per la sentenza e immaginiamo che Sullivan, che lui stesso è stato procuratore federale, farà appello.

Tieni d'occhio questo spazio, perché questa saga sembra sicuramente diventare ancora più interessante...

Intelligenza generativa dei dati

L'ex CSO di Uber è stato condannato per aver coperto la megaviolazione nel 2016

Giusto o sbagliato?

Ethereum, Solana e Altcoin si avvicinano alla "zona delle banane", secondo il macroguru Raoul Pal – Ecco la sua prospettiva – The Daily Hodl

Bitcoin rischia di perdere 7.2 miliardi di dollari se il prezzo di BTC raggiunge questo livello

L'ultima intelligenza

Perché molte "blockchain zombie" hanno ancora una capitalizzazione di mercato pari a miliardi di dollari – Unchained

Gli ETF spot sulle criptovalute inizieranno le negoziazioni a Hong Kong la prossima settimana: rapporto – The Daily Hodl

Crisi o ritorno di Cardano? Il parametro chiave di ADA è basso: cosa significa per gli investitori

Le migliori scelte di monete Meme per il possesso a lungo termine: Dogecoin (DOGE), Shiba Inu (SHIB) e Furrever Token (FURR)

Cboe persiane individua il business delle criptovalute, citando "venti contrari a livello normativo negli Stati Uniti" - Unchained

Le criptovalute ottengono una seconda possibilità: Stripe rientra nel settore con le stablecoin

Parla con noi