Exšéfa bezpečnosti Uberu obvinili z krytia hekerského útoku

Nekalý postup Joseph Sullivan zvolil v čase, kedy svedčil vo veci iného úniku dát.
Exšéfa bezpečnosti Uberu obvinili z krytia hekerského útoku

Americké orgány činné v trestnom konaní obvinili bývalého riaditeľa bezpečnosti (CSO) firmy Uber Josepha Sullivana z marenia spravodlivosti a neoznámenia trestného činu. Konkrétne sa mal dopustiť pokusu o úmyselné zatajenie obrovského úniku osobných údajov v roku 2016.

V prípade preukázania viny Sullivanovi hrozí až osem rokov väzenia a pokuta do výšky 500 000 dolárov.

Ako podotýka portál Wired, jeho odsúdenie by mohlo zároveň zanechať dôležitý precedens – ide o prvého výkonného funkcionára spoločnosti, ktorý čelí obvineniu za vlastnú reakciu na porušenie dôvernosti údajov.

https://twitter.com/eastdakota/status/1296522269313785862

Dohody so záškodníkmi sa nevyplácajú

Dňa 14. novembra 2016 Sullivan obdržal e-mail od dvoch anonymných hekerov, ktorí ho informovali o získaní prístupu k osobným údajom približne 57 miliónov zákazníkov a vodičov. Uniknuté dáta sa týkali mien, telefónnych čísel, e-mailových adries či identifikačných čísel vodičských preukazov približne 600 tisíc vodičov.

Podľa informácií agentúry Bloomberg sa útočníci k dátam dostali prostredníctvom súkromnej stránky softvérových inžinierov spoločnosti Uber na GitHube. Odtiaľ získané prihlasovacie údaje použili na prístup k účtu Amazon Web Services, ktorý spracovával operačné úlohy a súčasne obsahoval informácie o vodičoch a zákazníkoch.

Namiesto oznámenia incidentu úradom tak, ako to prikazuje zákon, poslal Sullivan v decembri 2016 záškodníkom 100 tisíc dolárov v Bitcoinoch. V snahe zaevidovať platbu ako odmenu na to využil bug bounty program, cez ktorý sú oceňované snahy etických hekerov.

Výmenou za financie malo byť vymazanie uniknutých dát a podpísanie dohody o mlčanlivosti. Tá mala obsahovať nepravdivé vyhlásenie o tom, že páchatelia neobdržali a ani neuchovávali údaje zákazníkov a vodičov služby Uber.

Pri prvej dohode obaja hekeri odmietli poskytnúť ich pravé mená. Akonáhle ich výskumníci spoločnosti identifikovali – konkrétne išlo o Brandona Glovera a Vaila Mereacrea, – prišiel Sullivan s novými dohodami, na ktorých boli mená uvedené. Obsah vyhlásenia ale ostal nezmenený.

Bezpečnostný tím pre vedenie spoločnosti vypracoval všeobecné zhrnutie incidentu, ktoré sa však jeho riaditeľ rozhodol upraviť. Odstránil dôležité detaily týkajúce sa dát a zároveň tvrdil, že platba prebehla až po identifikácií hekerov.

Pošramotená povesť

Firma nezažila podobný incident prvýkrát. V čase, kedy Sullivan obdržal spomínaný e-mail, Federálna obchodná komisia vyšetrovala Uber vo veci úniku dát z mája 2014. Práve šéf bezpečnosti Sullivan k prípadu poskytoval svedecké výpovede a zároveň objasňoval praktiky spoločnosti v oblasti ochrany osobných údajov.

Nástup novej bezpečnostnej politiky v spoločnosti Uber indikovala vo svojom blogu nová riaditeľka Dara Khosrowshahi:

„Nič z toho sa nemalo stať a nebudem hľadať výhovorky. Aj keď nemôžem vymazať minulosť, môžem sa zaviazať v mene každého zamestnanca spoločnosti Uber, že sa poučíme z našich chýb. Meníme spôsob, akým podnikáme, kladieme integritu do stredobodu každého rozhodnutia, ktoré robíme, a usilovne pracujeme na získaní dôvery našich zákazníkov.“


Klára Kaničárová, Kristína Urbanová