Joe Sullivan, som var Chief Security Officer på Uber från 2015 till 2017, har varit dömd i en federal domstol i USA för att täcka över ett dataintrång i företaget 2016.

Sullivan anklagades för att ha hindrat förfaranden som genomfördes av FTC (den Federal Trade Commission, USA:s konsumenträttsorgan), och att dölja ett brott, ett brott som i juridisk terminologi är känt under det speciella namnet misprision.

Juryn fann honom skyldig till båda dessa brott.

We skrev först om intrånget bakom detta allmänt bevakade rättsfall redan i november 2017, när nyheter om det ursprungligen dök upp.

Tydligen följde intrånget på en besvikelse bekant "attackkedja":

• Någon på Uber laddade upp en massa källkod till GitHub, men av misstag inkluderade en katalog som innehöll åtkomstuppgifter.
• Hackare snubblade över de läckta referenserna, och använde dem för att komma åt och leta runt i Uber-data som finns i Amazons moln.
• Amazon-servrarna som därmed brutits avslöjade personlig information på mer än 50,000,000 7,000,000 600,000 Uber-åkare och 60,000 XNUMX XNUMX förare, inklusive körkortsnummer för cirka XNUMX XNUMX förare och personnummer (SSN) för XNUMX XNUMX.

Ironiskt nog hände det här intrånget medan Uber var inne på en FTC-utredning om ett intrång som det hade drabbats av 2014.

Som du kan föreställa dig måste du rapportera ett massivt dataintrång medan du är mitt uppe i att svara till regulatorn om ett tidigare intrång, och medan du försöker försäkra myndigheterna om att det inte kommer att hända igen...

...måste vara svårt att svälja.

Faktum är att intrånget 2016 hölls tyst till 2017, då den nya ledningen på Uber avslöjade historien och erkände händelsen.

Det var då det visade sig att hackarna som exfiltrerade alla dessa kundregister och förardata året innan fick 100,000 XNUMX USD för att radera data och hålla tyst om det:

Ur en regleringssynpunkt borde Uber naturligtvis ha rapporterat detta intrång direkt i många jurisdiktioner runt om i världen, snarare än att tysta ner det i mer än ett år.

I Storbritannien, till exempel, Information Commissioner's Office olika kommenterade just då:

Ubers tillkännagivande om ett dolt dataintrång i oktober förra året väcker stor oro kring dess dataskyddspolicy och etik. [2017-11-22T10:00Z]

Det är alltid företagets ansvar att identifiera när brittiska medborgare har drabbats som en del av ett dataintrång och vidta åtgärder för att minska eventuell skada på konsumenterna. Att medvetet dölja överträdelser från tillsynsmyndigheter och medborgare kan leda till högre böter för företag. [2017-11-22T17:35Z]

Uber har bekräftat att dess dataintrång i oktober 2016 påverkade cirka 2.7 miljoner användarkonton i Storbritannien. Uber har sagt att intrånget gällde namn, mobiltelefonnummer och e-postadresser. [2017-11-29]

Naked Security-läsare undrade hur hackerbetalningen på 100,000 XNUMX dollar kunde ha gjorts utan att få saken att se ännu värre ut, och vi spekulerade:

Det ska bli intressant att se hur historien utvecklas – om Ubers nuvarande ledning kan utveckla den i det här skedet, det vill säga. Jag antar att du skulle kunna slå in $100,000 XNUMX som en "bug bounty-utbetalning", men det lämnar fortfarande frågan om att mycket bekvämt själv bestämma att det inte var nödvändigt att rapportera det.

Det verkar vara precis vad som hände: intrånget-som-kom-vid-exakt-fel-tid-i-mitten-i-en-intrångsutredning skrevs upp som en "bugg-bounty", något som beror vanligtvis på att det initiala avslöjandet görs på ett ansvarsfullt sätt och inte i form av ett utpressningskrav.

Vanligtvis skulle en etisk buggprisjägare inte stjäla data först och kräva tysta pengar för att inte publicera den, som ransomware-skurkar ofta gör nu för tiden. Istället skulle en etisk prisjägare dokumentera vägen som ledde dem till data och säkerhetsbristerna som gjorde det möjligt för dem att komma åt dem, och kanske ladda ner ett mycket litet men representativt prov för att försäkra sig om att det verkligen gick att hämta på distans. De skulle alltså inte skaffa data i första hand för att användas som ett utpressningsverktyg, och varje potentiellt offentligt avslöjande som överenskommits som en del av bug bounty-processen skulle avslöja arten av säkerhetshålet, inte den faktiska data som hade varit i fara. (Förbestämda datum för "avslöja senast" finns för att ge företag tillräckligt med tid att åtgärda problemen på egen hand, samtidigt som de sätter en deadline för att säkerställa att de inte försöker sopa problemet under mattan istället.)

Rätt eller fel?

Uppståndelsen kring Ubers intrång och mörkläggning ledde så småningom till anklagelser mot CSO själv, och han anklagades för de ovan nämnda brotten.

Sullivans rättegång, som varade i en knapp månad, avslutades i slutet av förra veckan.

Fallet väckte stort intresse i cybersäkerhetsgemenskapen, inte minst för att många kryptovalutaföretag, som ställs inför situationer där hackare har klarat sig med miljoner eller hundratals miljoner dollar, verkar alltmer (Och publicly) villig att följa en mycket liknande typ av "låt oss skriva om intrångshistoriken".

"Ge tillbaka pengarna du stal" de tigger, ofta i ett utbyte av kommentarer via blockkedjan för den plundrade kryptovalutan, "och vi låter dig behålla en ansenlig mängd av pengarna som en bug-bounty-betalning, och vi kommer att göra vårt bästa för att hålla brottsbekämpningen borta från din rygg.”

Om det slutliga resultatet av att skriva om intrångshistoriken på det här sättet är att stulen data raderas, och på så sätt kringgå all omedelbar skada på offren, eller att stulna kryptomynt som annars skulle gå förlorade för alltid kommer tillbaka, motiverar syftet då medlen?

I Sullivans fall beslutade juryn tydligen, efter fyra dagars överläggning, att svaret var "Nej", och fann honom skyldig.

Inget datum har ännu satts för dom, och vi gissar att Sullivan, som själv brukade vara en federal åklagare, kommer att överklaga.

Se det här utrymmet, för den här sagan verkar säkerligen bli ännu mer intressant...