ג'ו סאליבן, שהיה קצין האבטחה הראשי של אובר מ-2015 עד 2017, היה מורשע בבית משפט פדרלי בארה"ב בטיוח על הפרת נתונים בחברה ב-2016.
סאליבן הואשם בשיבוש הליכים שנוהלו על ידי ה-FTC (ה ועדת סחר הפדרלית, גוף זכויות הצרכנים בארה"ב), והסתרת פשע, עבירה הידועה במינוח המשפטי בשם המוזר של כלא שגוי.
חבר המושבעים מצא אותו אשם בשתי העבירות הללו.
We כתבה לראשונה על ההפרה שמאחורי תיק בית המשפט הנצפה הזה בנובמבר 2017, כשהחדשות על כך הופיעו במקור.
ככל הנראה, הפרצה באה בעקבות "שרשרת התקפה" מוכרת באופן מאכזב:
- מישהו ב-Uber העלה חבורה של קוד מקור ל-GitHub, אבל כלל בטעות ספרייה שהכילה אישורי גישה.
- האקרים נתקלו באישורים שהודלפו, והשתמש בהם כדי לגשת ולחטט בנתוני Uber המתארחים בענן של אמזון.
- שרתי אמזון שנפרצו כך חשפו מידע אישי על יותר מ-50,000,000 רוכבי Uber ו-7,000,000 נהגים, כולל מספרי רישיונות נהיגה של כ-600,000 נהגים ומספרי ביטוח לאומי (SSN) עבור 60,000.
למרבה האירוניה, הפרצה זו התרחשה בזמן ש-Uber הייתה בעיצומה של חקירת FTC על הפרה שהיא סבלה ממנה ב-2014.
כפי שאתה יכול לדמיין, אתה צריך לדווח על פרצת נתונים מאסיבית בזמן שאתה באמצע התשובה לרגולטור על הפרה קודמת, ובזמן שאתה מנסה להרגיע את הרשויות שזה לא יקרה שוב...
... חייב להיות כדור קשה לבלוע.
ואכן, הפרת 2016 נשמרה בשקט עד 2017, כאשר ההנהלה החדשה באובר חשפה את הסיפור והודתה בתקרית.
אז התברר שההאקרים שחקרו את כל אותם רישומי לקוחות ונתוני נהגים בשנה שלפני כן קיבלו 100,000 דולר כדי למחוק את הנתונים ולשתוק לגביהם:
מנקודת מבט רגולטורית, כמובן, אובר הייתה צריכה לדווח על הפרה זו מיד בתחומי שיפוט רבים ברחבי העולם, במקום להשקיט אותה במשך יותר משנה.
בבריטניה, למשל, משרד נציב המידע הערות שונות בזמן:
ההודעה של אובר על הפרת נתונים סמויה באוקטובר האחרון מעוררת דאגות עצומות לגבי מדיניות הגנת המידע והאתיקה שלה. [2017-11-22T10:00Z]
זו תמיד אחריותה של החברה לזהות מתי אזרחי בריטניה הושפעו כחלק מפרצת נתונים ולנקוט בצעדים לצמצום כל נזק לצרכנים. הסתרה מכוונת של הפרות מרגולטורים ואזרחים עלולה למשוך קנסות גבוהים יותר לחברות. [2017-11-22T17:35Z]
אובר אישרה שהפרת הנתונים שלה באוקטובר 2016 השפיעה על כ-2.7 מיליון חשבונות משתמשים בבריטניה. אובר מסרה כי ההפרה כללה שמות, מספרי טלפון ניידים וכתובות אימייל. [2017-11-29]
קוראי Naked Security תהו כיצד ניתן היה לבצע את תשלום האקרים בסך 100,000 דולר מבלי לגרום לדברים להיראות גרוע יותר, ואנחנו ספקולציה:
יהיה מעניין לראות איך הסיפור יתפתח - אם הנהגת אובר הנוכחית תוכל לגולל אותו בשלב זה, כלומר. אני מניח שאתה יכול לעטוף את 100,000 $ כ"תשלום פרס באג", אבל זה עדיין משאיר את הבעיה של החלטה נוחה מאוד בעצמך שאין צורך לדווח על כך.
נראה שזה בדיוק מה שכן קרה: ההפרה-שהגיעה-בדיוק-בזמן-שגוי-באמצע-חקירת-הפרה נכתבה כ"פרס באג", משהו ש תלוי בדרך כלל בכך שהגילוי הראשוני נעשה באחריות, ולא בצורה של דרישת סחיטה.
בדרך כלל, צייד ראשים של באגים אתיים לא היה גונב קודם את הנתונים ודורש כסף שקט כדי לא לפרסם אותם, כפי שעושים נוכלי כופר לעתים קרובות בימינו. במקום זאת, צייד ראשים אתי יתעד את הדרך שהובילה אותם לנתונים ואת חולשות האבטחה שאפשרו להם לגשת אליהם, ואולי יוריד מדגם קטן מאוד אך מייצג כדי לוודא שהוא אכן ניתן לאחזור מרחוק. לפיכך הם לא ירכשו את הנתונים מלכתחילה כדי להשתמש בהם ככלי סחיטה, וכל גילוי פומבי פוטנציאלי שיוסכם כחלק מתהליך פרס הבאגים יחשוף את אופי חור האבטחה, לא את הנתונים בפועל שהיו בסיכון. (קיימים תאריכי "גילוי עד" שנקבעו מראש כדי לתת לחברות מספיק זמן לתקן את הבעיות מעצמן, תוך קביעת דד-ליין כדי להבטיח שהן לא ינסו לטאטא את הנושא מתחת לשטיח במקום זאת.)
נכון או לא נכון?
המהומה סביב הפריצה והטיוח של אובר הובילה בסופו של דבר להאשמות נגד ה-CSO עצמו, והוא הואשם בפשעים שהוזכרו לעיל.
משפטו של סאליבן, שנמשך קצת פחות מחודש, הסתיים בסוף השבוע שעבר.
המקרה משך עניין רב בקהילת אבטחת הסייבר, לא מעט משום שמספר רב של חברות מטבעות קריפטוגרפיות, המתמודדות עם מצבים שבהם האקרים הסתלקו עם מיליוני או מאות מיליוני דולרים, יותר ויותר (ו בפומבי) מוכן ללכת בדרך דומה מאוד של "בואו נשכתב את היסטוריית ההפרות".
"תחזיר את הכסף שגנבת" הם מתחננים, לעתים קרובות בחילופי הערות באמצעות הבלוקצ'יין של המטבע הקריפטוגרפי השדוד, "ונאפשר לך לשמור כמות נכבדת מהכסף כתשלום פרס באג, ונעשה כמיטב יכולתנו כדי להרחיק את אכיפת החוק מהגב שלך."
אם התוצאה הסופית של שכתוב היסטוריית הפרות בצורה זו היא שמידע שנגנב נמחק, ובכך עוקף כל פגיעה מיידית בקורבנות, או שמטבעות קריפטו גנובים שאחרת היו אובדים לנצח יוחזרו, האם המטרה מצדיקה את האמצעים?
במקרה של סאליבן, חבר המושבעים כנראה החליט, לאחר ארבעה ימים של דיון, שהתשובה היא "לא", ומצא אותו אשם.
עדיין לא נקבע תאריך למתן גזר הדין, ואנחנו מנחשים שסאליבן, שבעצמו היה תובע פדרלי, יערער.
צפו בחלל הזה, כי נראה שהסאגה הזו תהיה עוד יותר מעניינת...
