Ο πρώην επικεφαλής ασφαλείας της Uber, Τζο Σάλιβαν, θα καταδικαστεί για παραβίαση
Related Posts
Ενημέρωση 05/05/23:
Αργά την Πέμπτη, ομοσπονδιακός δικαστής
δήλωσε ο William Orrick
Ο πρώην επικεφαλής κυβερνοασφάλειας της Uber, Τζόζεφ Σάλιβαν, θα υπέφερε όχι
φυλάκιση για τη συγκάλυψη μιας τεράστιας παραβίασης της ασφάλειας στην εταιρεία μεταφοράς αυτοκινήτων πριν από επτά χρόνια. Αντιθέτως, τίθεται υπό δοκιμασία και πρέπει να συμπληρώσει 200 ώρες κοινωφελούς εργασίας.
Σύμφωνα με
Η Wall Street Journal
ο Όρικ είπε στο δικαστήριο ότι έδειχνε επιείκεια στον Σάλιβαν λόγω του ασυνήθιστου
φύση της υπόθεσης και είναι η πρώτη στο είδος της. Έφερε κι αυτός
ανεβάζει τον υποτιθέμενο χαρακτήρα του Σάλιβαν χάρη στον τεράστιο αριθμό επιστολών που δείχνουν στον πρώην αξιωματούχο της ασφάλειας στον κυβερνοχώρο την υποστήριξή του.
Ο δικαστής πρόσθεσε ότι εάν περισσότεροι αξιωματούχοι της κυβερνοασφάλειας ακολουθήσουν τον ίδιο δρόμο με τον Σάλιβαν, θα μπορούσαν να περιμένουν πραγματική φυλάκιση.
Οι εισαγγελείς προηγουμένως υποστήριξαν για πολλά χρόνια φυλάκιση, αλλά οι δικηγόροι του Σάλιβαν επεσήμαναν τις περίπου 180 επιστολές που έλαβε που πιστοποιούσαν την προηγούμενη εργασία του στον τομέα της κυβερνοασφάλειας. Μία από αυτές τις επιστολές υπέγραψαν 40 πρώην ή νυν στελέχη ασφαλείας της εταιρείας.
Πρωτότυπη ιστορία:
Το 2016, η Uber υπέστη παραβίαση ασφαλείας με αποτέλεσμα τη διαρροή ονομάτων, αριθμών τηλεφώνου, διευθύνσεων email 57 εκατομμυρίων χρηστών—μαζί με τα προσωπικά στοιχεία, ακόμη και τις άδειες οδήγησης 600.000 οδηγών της Uber. Αντί να αναγνωρίσετε δημόσια το χακάρισμα,
Ο Σάλιβαν και λίγοι υπάλληλοι που εργάζονταν για αυτόν πλήρωσαν στους χάκερ περίπου 100.000 δολάρια για να κρατήσουν μυστική την παραβίαση
. Τα λύτρα, που πληρώθηκαν σε bitcoin, προήλθαν από το πρόγραμμα επιβράβευσης σφαλμάτων της εταιρείας, αν και το τυπικό μέγιστο όριο εύρεσης σφαλμάτων της εταιρείας είναι μόλις 10.000 $ και η Uber δεν έκανε καμία αναφορά για την παραβίαση στο κοινό. Εκείνη την εποχή, η Ομοσπονδιακή Επιτροπή Εμπορίου ερευνούσε ήδη την εταιρεία για μια άλλη παραβίαση που συνέβη το 2014, πριν ο Sullivan υπογράψει ως νέος επικεφαλής ασφαλείας μετά
φεύγοντας από το Facebook
(τώρα Meta).
Σύμφωνα με την
Wall Street Journal
, οι δικηγόροι του Sullivan υποστήριξαν στο δικαστήριο ότι ο Sullivan ανάγκασε τους χάκερ να υπογράψουν συμφωνίες μη αποκάλυψης που έδειχναν ότι κατέστρεψαν όλα τα χακαρισμένα δεδομένα, αν και μέχρι σήμερα δεν είναι σαφές εάν επιβεβαιώθηκε ότι τα παραβιασμένα δεδομένα είχαν ποτέ πραγματικά διαγραφεί. Οι δικηγόροι του Sullivan υποστήριξαν ότι η συμφωνία ήταν αρκετή διαβεβαίωση για την εταιρεία ώστε να ταξινομήσουν το περιστατικό ως απλό bug bounty, λες και οι χάκερ ήταν απλώς λευκά καπέλα που άφηναν την Uber να γνωρίζει τα τρωτά σημεία της αντί να κλέβουν δεδομένα.
Μετά την εμφάνιση του τρέχοντος διευθύνοντος συμβούλου της Uber, Dara Khosrowshahi, οι δημοσιογράφοι αποκάλυψαν το hack και τη συγκάλυψη, και η εταιρεία σύντομα απέλυσε τον Sullivan και διέταξε μια εσωτερική έρευνα για αυτόν και τον Craig Clark, έναν από τους δικηγόρους που αναφέρθηκαν στην πρώην CSO.
Ο πρώην στέλεχος της Uber ήταν
φορτισμένα
με παρακώλυση της δικαιοσύνης το 2020.
Ένα δικαστήριο καταδίκασε τον Sullivan τον περασμένο Οκτώβριο
προσπαθεί να κρύψει την παραβίαση της ασφάλειας. Το δικαστήριο τον βρήκε
ένοχος
παρακώλυση και κακή φυλάκιση κακουργήματος για το έργο του κρύβοντας τα γεγονότα της παραβίασης της ασφάλειας από την FTC.
Ο ομοσπονδιακός δικαστής για τη Βόρεια Περιφέρεια της Καλιφόρνια Ουίλιαμ Όρικ πρόκειται να καταδικάσει τον Σάλιβαν κάποια στιγμή μετά τις 1:30 μ.μ. PT, ή 4:30 ET. Οι ομοσπονδιακοί εισαγγελείς έχουν
συνιστάται
ότι ο πρώην στέλεχος της Uber αντιμετωπίζει ποινή φυλάκισης μεταξύ 24 και 30 μηνών. Οι εισαγγελείς των ΗΠΑ ανέφεραν επίσης τον συνάδελφο στέλεχος της Uber, Άντονι Λεβαντόφσκι, ο οποίος στο παρελθόν ομολόγησε την ενοχή του και
καταδικάστηκε σε 18 μήνες για κλοπή εμπορικών μυστικών από την Google
.
«Αν όχι για την τυχαία άφιξη νέας ηγεσίας στην Uber, υπάρχει κάθε λόγος να πιστεύουμε ότι τα δεκάδες εκατομμύρια θύματα της παραβίασης δεδομένων του 2016 δεν θα το είχαν μάθει ποτέ», έγραψαν οι εισαγγελείς στο υπόμνημά τους για την καταδίκη.
Το Gizmodo επικοινώνησε με τους δικηγόρους του Sullivan από το Angeli Law Group, αλλά δεν ακούσαμε αμέσως απάντηση. Οι δικηγόροι του έχουν
υποστήριξε
στα δικαστικά έγγραφα ότι οποιοδήποτε ποσό φυλάκισης θα ήταν «δεν είναι απαραίτητο», καθώς «υπέστη, και θα συνεχίσει να υποφέρει, σημαντικές συνέπειες εξαιτίας αυτής της υπόθεσης». Οι δικηγόροι του απάντησαν επίσης στο αίτημα της Fed για φυλάκιση δύο ή περισσότερων ετών, ζητώντας από το δικαστήριο να λάβει υπόψη την αφοσίωσή του στην οικογένειά του και την «σταθερή δέσμευσή του στη δημόσια υπηρεσία».
Η εταιρεία έχει βιώσει μεγάλα hacks, όπως το 2022 όταν η
Η συμμορία LAPSUS$ κατάφερε να αποκτήσει πρόσβαση στο εσωτερικό δίκτυο της εταιρείας και στο κανάλι Slack
. Η εταιρεία ήταν πολύ πιο γρήγορη να παράσχει λεπτομέρειες σχετικά με αυτήν την παραβίαση από τις προηγούμενες εισβολές της. Η Uber προσπάθησε να διορθώσει την εικόνα της από το να είναι το
δεδομένα πεινασμένοι μαμούθ
είναι. Αν και η εταιρεία ήταν
πιο πρόθυμος να δείξει στους χρήστες τι είδους δεδομένα έχει για τους χρήστες
εξακολουθεί να σχεδιάζει να χρησιμοποιήσει περισσότερα από τα δεδομένα των πελατών για να
πραγματοποιήστε περισσότερη εγγενή διαφήμιση ενώ είστε εντός εφαρμογής
.
