رئیس سابق امنیت Uber به دلیل نقض داده ها که به 57 میلیون کاربر آسیب رساند، با محاکمه مهمی روبرو می شود | اوبر

جو سالیوان، افسر امنیتی سابق اوبر، این هفته در دادگاه محاکمه می‌شود که گمان می‌رود اولین مورد از یک مدیر اجرایی باشد که در رابطه با نقض داده‌ها با اتهامات جنایی روبرو می‌شود.

دادگاه منطقه ای ایالات متحده در سانفرانسیسکو شروع به استماع استدلال هایی خواهد کرد که آیا سالیوان، رئیس سابق امنیت غول سهم سواری، نتوانسته است به درستی نقض داده های سال 2016 را که بر 57 میلیون سوار و راننده اوبر در سراسر جهان تأثیر گذاشته است، افشا کند.

در زمانی که گزارش‌ها درباره حملات باج‌افزار افزایش یافته و حق بیمه امنیت سایبری افزایش یافته است، این پرونده می‌تواند سابقه مهمی در رابطه با مقصر بودن کارکنان و مدیران امنیتی ایالات متحده برای نحوه رسیدگی به حوادث امنیت سایبری توسط شرکت‌هایی که برای آنها کار می‌کنند، ایجاد کند.

این نقض اولین بار در نوامبر 2017 آشکار شد، زمانی که دارا خسروشاهی، مدیر اجرایی Uber فاش کرد که هکرها به شماره گواهینامه رانندگی 600000 راننده Uber ایالات متحده و همچنین نام، آدرس ایمیل و شماره تلفن 57 نفر دسترسی پیدا کرده اند. میلیون سوار و راننده اوبر

افشای عمومی مانند خسروشاهی توسط قانون در بسیاری از ایالت های ایالات متحده الزامی است، و اکثر مقررات موظف هستند که این اطلاع رسانی «در مناسب ترین زمان ممکن و بدون تأخیر غیرمنطقی» انجام شود.

اما اعلام خسروشاهی با یک اعتراف همراه بود: یک سال تمام از نقض اطلاعات می گذشت.

خسروشاهی در آن زمان گفت: «شاید بپرسید چرا ما فقط یک سال بعد در مورد این موضوع صحبت می‌کنیم،» در آن زمان افزود که شرکت این تاخیر را بررسی کرده و دو مدیر اجرایی را که مسئول پاسخگویی به تخلف بودند، اخراج کرده است. سالیوان بود.

افشای اوبر باعث ایجاد چندین تحقیق فدرال و ایالتی شد. در سال 2018، اوبر 148 میلیون دلار به دلیل عدم افشای نقض داده ها در توافقی در سراسر کشور با 50 دادستان کل ایالت پرداخت کرد. در سال 2019، این دو هکر به هک Uber و سپس اخاذی از برنامه تحقیقاتی امنیتی “اشکال” اوبر اقرار کردند. در سال 2020، وزارت دادگستری علیه سالیوان اتهامات جنایی ارائه کرد.

در پرونده‌های دادگاه، دادستان‌های فدرال ادعا کردند که در تلاش برای سرپوش گذاشتن بر نقض امنیتی، سالیوان “به تیم خود دستور داده است که اطلاعات نقض 2016 را کاملاً کنترل کنند” و این حادثه را به عنوان بخشی از برنامه پاداش باگ تلقی کنند.

این برنامه برای تشویق هکرها و محققان امنیتی برای گزارش آسیب‌پذیری‌ها در ازای جوایز نقدی طراحی شده بود، اما اجازه نمی‌داد «به هکری که به اطلاعات شخصی کاربران و رانندگان از سیستم‌های تحت کنترل اوبر دسترسی پیدا کرده و به آن‌ها دسترسی پیدا کرده بود پاداش داده شود». می گوید.

این شکایت می‌گوید که هکرها در سال 2016 100000 دلار پاداش دریافت کردند که بیش از هر جایزه‌ای که شرکت تا آن زمان به عنوان بخشی از برنامه پرداخت کرده بود.

دادستان فدرال نوشت: سالیوان همچنین از هکرها خواسته بود یک توافقنامه تکمیلی عدم افشا (NDA) را امضا کنند که “به دروغ نشان می داد که هکرها هیچ داده ای را در طول نفوذ خود به دست نیاورده اند یا ذخیره نکرده اند”.

سالیوان در سال 2018، ماه‌ها پس از اخراجش، هرگونه ادعای پنهان‌کاری را رد کرد و گفت که «متعجب و ناامید شد وقتی کسانی که می‌خواستند اوبر را در یک نور منفی به تصویر بکشند، به سرعت پیشنهاد کردند که این یک سرپوش است».

نه سالیوان و نه اوبر بلافاصله به درخواست اظهار نظر پاسخ ندادند.

شکایت وزارت دادگستری ادعا کرد که تنها سالیوان و مدیر اجرایی سابق اوبر، تراویس کالانیک، از گستره کامل هک و همچنین نقشی در تصمیم گیری برای تلقی آن به عنوان افشای مجاز از طریق برنامه پاداش باگ، آگاهی داشتند. با این حال، همانطور که نیویورک تایمز برای اولین بار گزارش داد، صنعت امنیت در مورد اینکه آیا سالیوان سزاوار این است که تنها مسئول این نقض باشد یا خیر تقسیم شده است. برخی این سوال را مطرح کرده اند که آیا نقش سایر مدیران شرکت و هیئت مدیره آن نیز باید مورد بررسی قرار گیرد، در حالی که برخی دیگر می گویند که نقش سالیوان در آن مشخص است.

من نمی‌دانم که آیا مدیریت اوبر از پنهان‌کاری خبر داشت یا نه، یا اینکه سالیوان دستور داده شده بود که ۱۰۰۰۰۰ دلار را برای پنهان کردن تخلف انجام دهد. جمیل فرشچی، مدیر ارشد امنیت اطلاعات در Equifax، در پستی در لینکدین نوشت: محاکمه همه اینها را مشخص خواهد کرد. چیزی که من می‌دانم این است که هیچ‌کس در مورد نقض 57 میلیون نفر بحث نمی‌کند، اوبر آن را پنهان کرد و جو سالیوان… در این پنهان‌کاری دست داشت.»

این آزمایش زمانی انجام خواهد شد که گزارش‌های مربوط به حملات باج‌افزار همچنان در حال افزایش است. به گفته شرکت اطلاعاتی تهدید SonicWall، در سال 2021، ایالات متحده شاهد افزایش بیش از 95 درصدی حملات باج افزار بود. بسیاری از این مهاجمان مراکز بهداشتی و درمانی و مدارس را هدف قرار داده اند. هکرها منطقه مدرسه یکپارچه لس آنجلس، دومین منطقه مدرسه بزرگ در ایالات متحده را با یک حمله سایبری در تعطیلات آخر هفته روز کارگر هدف قرار دادند.