Руководителя Uber обвинили в маскировке вымогательства данных под «ошибку вознаграждения»
Руководителя Uber обвинили в маскировке вымогательства данных под «ошибку вознаграждения»
Expand
ДЖОШ ЭДЕЛЬСОН / автор | АФП
После того, как в 2016 году Федеральная торговая комиссия начала расследование крупной утечки данных Uber, технологическая компания столкнулась с еще одной утечкой, которая, по-видимому, была не менее серьезной. Вместо того, чтобы сообщить о второй утечке данных в Федеральную торговую комиссию и рисковать еще большим общественным смущением, Джо Салливан, в то время главный сотрудник службы безопасности Uber, проконсультировался с адвокатами, а затем провел переговоры с хакерами. Он якобы заключил сделку, по которой Uber выплатил хакерам вознаграждение в размере 100 000 долларов за удаление данных, а затем заявил, что утечка данных была частью запланированной проверки безопасности Uber, и попросил хакеров подписать соглашение о неразглашении.
Теперь Салливану предъявлено уголовное обвинение в воспрепятствовании работе, и Wall Street Journal сообщает, что его дело вызвало тревогу у руководителей служб безопасности технологических компаний по всему миру, которые считают, что Салливану не следует заменять Uber. Бывший начальник службы безопасности AT&T Эдвард Аморозо сообщил журналу, что «многие высокопоставленные сотрудники службы безопасности считают», что Салливан «не сделал ничего плохого».
Аморосо утверждал, что, криминализируя решения начальников служб безопасности, таких как Салливан, о разоблачении, Министерство юстиции США рискует свернуть всю профессию охранника. Он сказал, что дебаты лучше оставить сообществам безопасности, а не суду, чтобы решить, кто несет ответственность. Арс не смог немедленно связаться с Аморозо для получения дальнейших комментариев.
Министерство юстиции не согласно. Юрист Министерства юстиции Эндрю Доусон поддержал прокуроров в этом деле, которые говорят, что их главная проблема заключается в том, что Салливан не смог раскрыть второе нарушение во время активного расследования Федеральной торговой комиссии недостатков безопасности, связанных с первым нарушением больших данных Uber.
«Это дело о сокрытии, корысти и лжи», — заявил Доусон суду в среду, сообщает WSJ.
Uber отказался комментировать Ars или WSJ. Министерство юстиции сообщило Ars, что не может комментировать данный этап судебного разбирательства. Арс не смог немедленно связаться с адвокатами Салливана для получения дополнительных комментариев.
Скрытие хакеров за «баунти-баунти» Uber
Журнал WSJ сообщил, что хакеры, совершившие вторую утечку данных, Брэндон Чарльз Гловер и Василе Миракр, уже признали себя виновными во взломе и вымогательстве. Суд по-прежнему решит, сделал ли Салливан что-то не так, предприняв действия, которые он предпринял после того, как уступил требованиям хакеров о «большой оплате».
Судебные протоколы, просмотренные WSJ, показали, что команда Салливана решила рассматривать хакеров, вымогавших 100 000 долларов за удаление 57 миллионов записей, как "пример сообщения исследователями безопасности об ошибке".
Обычно Uber нанимает и платит исследователям безопасности через "программу вознаграждения за обнаружение ошибок", чтобы обнаружить уязвимости до того, как это сделают хакеры. В этом случае Uber попросил хакеров присоединиться к их программе вознаграждения за обнаружение ошибок. Затем они попросили хакеров подписать соглашение о неразглашении информации, прежде чем Uber переведет им 100 000 долларов в биткойнах.
Прокуратура заявила, что это было сделано для того, чтобы скрыть незаконную деятельность, чтобы Федеральная торговая комиссия рассматривала это только как действительный платеж через программу вознаграждения за обнаружение ошибок. Доусон сказал, что Салливан предпринял эти действия только потому, что команда юристов сообщила его команде, что «этот вопрос может рассматриваться как вознаграждение за ошибку и не является нарушением данных, о котором необходимо сообщить, если хакеры удалят данные и подпишут соглашение о неразглашении».
В среду адвокат Салливана, Дэвид Анджели, заявил суду, что, хотя суд не одобряет сокрытие информации об утечке данных, зарегистрировав ее внутри компании как награду за обнаружение ошибок, Салливану не следует предъявлять уголовные обвинения, поскольку он не единственный, кто предпринять эти действия.
В течение нескольких дней после первого контакта с...
После того, как в 2016 году Федеральная торговая комиссия начала расследование крупной утечки данных Uber, технологическая компания столкнулась с еще одной утечкой, которая, по-видимому, была не менее серьезной. Вместо того, чтобы сообщить о второй утечке данных в Федеральную торговую комиссию и рисковать еще большим общественным смущением, Джо Салливан, в то время главный сотрудник службы безопасности Uber, проконсультировался с адвокатами, а затем провел переговоры с хакерами. Он якобы заключил сделку, по которой Uber выплатил хакерам вознаграждение в размере 100 000 долларов за удаление данных, а затем заявил, что утечка данных была частью запланированной проверки безопасности Uber, и попросил хакеров подписать соглашение о неразглашении.
Теперь Салливану предъявлено уголовное обвинение в воспрепятствовании работе, и Wall Street Journal сообщает, что его дело вызвало тревогу у руководителей служб безопасности технологических компаний по всему миру, которые считают, что Салливану не следует заменять Uber. Бывший начальник службы безопасности AT&T Эдвард Аморозо сообщил журналу, что «многие высокопоставленные сотрудники службы безопасности считают», что Салливан «не сделал ничего плохого».
Аморосо утверждал, что, криминализируя решения начальников служб безопасности, таких как Салливан, о разоблачении, Министерство юстиции США рискует свернуть всю профессию охранника. Он сказал, что дебаты лучше оставить сообществам безопасности, а не суду, чтобы решить, кто несет ответственность. Арс не смог немедленно связаться с Аморозо для получения дальнейших комментариев.
Министерство юстиции не согласно. Юрист Министерства юстиции Эндрю Доусон поддержал прокуроров в этом деле, которые говорят, что их главная проблема заключается в том, что Салливан не смог раскрыть второе нарушение во время активного расследования Федеральной торговой комиссии недостатков безопасности, связанных с первым нарушением больших данных Uber.
«Это дело о сокрытии, корысти и лжи», — заявил Доусон суду в среду, сообщает WSJ.
Uber отказался комментировать Ars или WSJ. Министерство юстиции сообщило Ars, что не может комментировать данный этап судебного разбирательства. Арс не смог немедленно связаться с адвокатами Салливана для получения дополнительных комментариев.
Скрытие хакеров за «баунти-баунти» Uber
Журнал WSJ сообщил, что хакеры, совершившие вторую утечку данных, Брэндон Чарльз Гловер и Василе Миракр, уже признали себя виновными во взломе и вымогательстве. Суд по-прежнему решит, сделал ли Салливан что-то не так, предприняв действия, которые он предпринял после того, как уступил требованиям хакеров о «большой оплате».
Судебные протоколы, просмотренные WSJ, показали, что команда Салливана решила рассматривать хакеров, вымогавших 100 000 долларов за удаление 57 миллионов записей, как "пример сообщения исследователями безопасности об ошибке".
Обычно Uber нанимает и платит исследователям безопасности через "программу вознаграждения за обнаружение ошибок", чтобы обнаружить уязвимости до того, как это сделают хакеры. В этом случае Uber попросил хакеров присоединиться к их программе вознаграждения за обнаружение ошибок. Затем они попросили хакеров подписать соглашение о неразглашении информации, прежде чем Uber переведет им 100 000 долларов в биткойнах.
Прокуратура заявила, что это было сделано для того, чтобы скрыть незаконную деятельность, чтобы Федеральная торговая комиссия рассматривала это только как действительный платеж через программу вознаграждения за обнаружение ошибок. Доусон сказал, что Салливан предпринял эти действия только потому, что команда юристов сообщила его команде, что «этот вопрос может рассматриваться как вознаграждение за ошибку и не является нарушением данных, о котором необходимо сообщить, если хакеры удалят данные и подпишут соглашение о неразглашении».
В среду адвокат Салливана, Дэвид Анджели, заявил суду, что, хотя суд не одобряет сокрытие информации об утечке данных, зарегистрировав ее внутри компании как награду за обнаружение ошибок, Салливану не следует предъявлять уголовные обвинения, поскольку он не единственный, кто предпринять эти действия.
В течение нескольких дней после первого контакта с...
Expand
ДЖОШ ЭДЕЛЬСОН / автор | АФП
