Były CSO Ubera unika więzienia po zatuszowaniu naruszenia danych kierowców i pasażerów
Po zatuszowaniu incydentu naruszenia danych, który wpłynął na dane osobowe 57 milionów pasażerów i kierowców Ubera, były dyrektor ds. bezpieczeństwa firmy został uznany za winnego. Dlaczego CSO Uber unika więzienia?
Dyrektor ds. bezpieczeństwa – CSO Uber – został uznany za winnego i skazany przez amerykańskiego sędziego federalnego. Jednak kontrowersje budzi wyjątkowo niski wyrok, który otrzymał Joe Sullivan.
Wyciek danych z Ubera
Joe Sullivan, były szef bezpieczeństwa w Facebooku, zajmował to stanowisko (CSO) w firmie Uber w październiku 2016 r. Wówczas doszło do kradzieży danych przez hakerów. Dane te zawierały nazwiska, adresy e-mail i numery telefonów klientów i kierowców.
W trakcie śledztwa okazało się, że bezpośrednią przyczyną włamania nie było złamanie systemów antywirusowych, lecz nieostrożność programistów. Zostawili oni swoje dane logowania w zasobniku Amazon Web Services, używanym przez Ubera, w repozytorium GitHub.
Hakerzy ukradli dane z zasobnika AWS i skontaktowali się z Uberem, żądając okupu.
Joe Sullivan podjął szereg decyzji – nietypowych dla tak dużej organizacji, ale też nietypowych dla CSO (Chief Security Officer) zajmującego się m.in. naruszeniem danych.
- Zdecydował się nie informować ofiar wycieku o tym, że ich dane zostały skradzione.
- Zdecydował się nie mówić organom regulacyjnym o naruszeniu danych, ani nie informować władz o cyberincydencie.
Sullivan, zamiast powiadomić odpowiednie organy władz, zatuszował włamanie i potajemnie spotkał się z hakerami. Zapłacił im sto tysięcy dolarów za podpisanie umowy o zachowaniu poufności, zgodnie z którą wiadomość o naruszeniu nigdy nie zostanie upubliczniona. Co ciekawe, opłacenie hakerów zostało „podpięte” pod program nagród za błędy. Wszystko po to, aby uniknąć pytań o zniknięcie tak dużych środków z konta firmy.
Podczas ostatniej rozprawy prokuratorzy twierdzili, że były zarząd skłonił Sullivana do zatuszowania awarii bezpieczeństwa, próbując zarówno chronić renomę firmy, jak i zabezpieczyć się przed ucieczką kierowców do rywali Ubera.
Prokuratorzy uznali kierowców za „oszukanych”, ponieważ nie zostali oni poinformowani o własnej krzywdzie (zagrożeniu atakami phishingowymi) spowodowanej błędem pracowników Ubera, a mimo to wciąż dzielili się z firmą częścią swoich zarobków.
Były CSO Ubera unika więzienia – kontrowersje wokół wyroku
Sullivan, który sam jest byłym prokuratorem federalnym, a po opuszczeniu Ubera został mianowany CISO (Chief Information Security Officer) Cloudflare, dostał ostrzeżenie, że grozi mu wiele lat więzienia.
Jednak w zeszłym tygodniu poinformowano, że otrzymuje trzyletni wyrok w zawieszeniu, unikając kary więzienia.
„Gdybym jutro miał podobną sprawę, nawet gdyby oskarżonym był papież Franciszek, to trafiłby on do więzienia” – powiedział Sullivanowi sędzia federalny z Północnego Dystryktu Kalifornii, William Orrick.
W kolejnych słowach tłumaczył swój wyrok tym, że sytuacja ta była jednorazowa i nietypowa, jak na 2016 rok. Sędzia jednak zastrzegł, że kolejni przestępcy, którzy zatają wycieki danych w swoich firmach, będą traktowani bardziej rygorystycznie.
„Wyjątkowo niski wyrok dla byłego CSO Ubera z pewnością można postrzegać jako kontrowersyjny. Szczególnie bulwersujące były pobudki, którymi kierował się Joe Sullivan, czyli próba ratowania reputacji i chęć oszukania swoich pracowników, aby ci nie zmienili pracodawcy. Musimy jednak pamiętać o dwóch kwestiach. Po pierwsze w Stanach Zjednoczonych panuje prawo precedensowe i nie funkcjonuje tam RODO. Po drugie skazywanie osób odpowiedzialnych za niezawiadomienie organów władzy o wyciekach danych jest czymś stosunkowo nowym. Przez długi czas opinia publiczna uważała, że firmy, które w jakiś sposób „współpracowały” z cyberprzestępcami, zostały do tego zmuszone, wybrały mniejsze zło i poniosły już odpowiednią karę. Jednak coraz większa świadomość tego, co może się dziać ze skradzionymi danymi, do czego mogą być wykorzystane i to, że wśród nich mogą być także nasze dane, zmieniło pogląd społeczeństwa na temat niedociągnięć w zabezpieczaniu zasobów przez firmy. Pomimo tego, że w przypadku CSO Ubera możemy mówić o wyjątkowo niskim wyroku, to skazanie go na karę w zawieszeniu jest ostrzeżeniem dla całej branży cyberbezpieczeństwa” – mówi Mariusz Politowicz z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.
Najnowsze
-
Cena ropy naftowej w 2025 r. będzie spadać. Czy potanieją też paliwa?
Analitycy są przekonani, że trwający od ponad pół roku trend spadkowy na rynku ropy naftowej utrzyma się również w przyszłym roku. Nie ma jednak wśród nich zgody na temat jego skali. Jedni przewidują umiarkowane obniżki cen giełdowych, inny wieszczą drastyczne spadki. Ale czy spowoduje to spadki na stacjach paliw w Polsce? Jest taka szansa, ale wiele zależy od kursu dolara. -
Joanna Modrzewska – pierwsza Polka z Pucharem Świata w sportach motocyklowych za 2024 rok
-
Range Rover L460 SV Serenity – TEST – kiedy “zwykły” luksus to za mało
-
W pełni elektryczny SUV Volvo EX30 zdobywa 5 gwiazdek w najnowszych testach Euro NCAP
-
MotoMikołajki.pl 2024 edycja XVI
Zostaw komentarz: