BLACK HAT AVRUPA 2023 – Londra – Eski Uber CISO Joe Sullivan geçen hafta konuyla ilgili yeni ayrıntıları paylaştı. Şirkette 2016 veri ihlali Bu onun Uber’den kovulmasına ve daha sonra ağır suçlamalara yol açtı.
Black Hat Europe’daki açılış konuşmasında Joe Sullivan şunu itiraf etti: “Joe gibi olmaktan nasıl kaçınılır” temalı web seminerlerini ve programları dinlemekten kaçınıyor. bir Dark Reading’le röportajSullivan, “medyada benim hakkımda doğru olmadığını bildiğim şeylerin söylendiğini dinlemesi ve adımı görmesi” gerektiğini söyledi.
Uber İhlali
Saldırganlar isimler, telefon numaraları, e-posta adresleri ve 600.000’den fazla ABD ehliyet numarası da dahil olmak üzere 57 milyon kullanıcı ve sürücü hesabını çaldığında Sullivan, Uber’in CISO’su olarak ikinci yılındaydı.
Saldırganların ihlal konusunda Uber’i uyarmasının ardından ve Uber’in yetkililere bildirimde bulunmasından önce, saldırganlara 100.000 dolarlık bir ödeme yapıldı. Sullivan bunu şöyle tanımladı: bir hata ödülü, Saldırganların olayla ilgili bir gizlilik anlaşması (NDA) imzaladığı yer. Uber CEO’su Dara Khosrowshahi daha sonra Sullivan’ı kovduSullivan’ın kendisini ihlal konusunda yanılttığını savunarak Sullivan’ın açıklamama kararını “yanlış karar” olarak nitelendirdi. O dönemde Uber, Sullivan’a ya istifa etmesini ya da görevinden alınmasını emretmişti.
Sullivan, 2020 yılında Cloudflare’de CISO iken, davada tutuklanmayı beklediğini ilk kez kızının onu arayıp “Şu anda hapiste misin?” diye sormasıyla öğrendi. arkadaşlarından biri Sullivan’ın tutuklandığına dair bir haber duyduktan sonra.
Sullivan iki suçlamayla suçlandı: özellikle Federal Ticaret Komisyonu (FTC) soruşturmasıyla bağlantılı olarak adaleti engellemek Uber’in ve bir suçun yanlış değerlendirilmesiburada bir suçu örtbas etmekle suçlandı. FTC’nin açıklamasında Sullivan’ın iddiaya göre “İhlalle ilgili herhangi bir bilginin FTC’ye ulaşmasını önlemek için bir plan uyguladık.”
Bu açıklamada, Sullivan ve ekibine atanan bir avukat tarafından hazırlanan sözleşmelerin, bilgisayar korsanlarının hacklerinde herhangi bir veri almadığını veya saklamadığını yanlış bir şekilde yansıttığı ve Sullivan’ın, General dahil olmak üzere FTC soruşturmasını yürüten veya denetleyen Uber avukatlarıyla çalışmaya devam ettiği belirtildi. Uber’in danışmanı. Ancak FTC öyle olduğunu söylüyor bildirilmedi 2017 yılına kadar ihlal veya ödeme hakkında.
Ağır suç suçlamasının yanlış anlaşılması üzerine Sullivan, saldırganların yasayı ihlal ettiğini söyledi. 18 ABD Doları 1030, bir bilgisayara izinsiz erişimle ilgili. Bununla birlikte, bir güvenlik açığı araştırmacısı ile ağını test ettikleri şirket arasında genellikle HackerOne ve Bugcrowd gibi üçüncü taraf şirketler aracılığıyla yürütülen sözleşmeye dayalı bir ilişki olduğunu savundu.
Bu ilişkilerin 2016’da yaygın olmadığını, dolayısıyla bir kuruluşun sistemlerine yönelik hack araştırması yapan herkesin suç işlediğini belirtti. Sullivan çekici görünüyor: Avukatları ikinci suçlamanın kabul edilmesinin hata ödül programlarının kullanımını suç saymak ve “değerli bir aracı elinden almakla tehdit eden bir emsal” yaratın.
Sorumlu Açıklama
Sullivan, test uzmanlarını buldukları güvenlik açıklarının ayrıntılarını açıklamaya teşvik ettiği 2000’li yıllarda eBay’deki görevine dönerek her zaman sorumlu açıklama politikalarını desteklediğini söyledi. “Alabileceğiniz tüm bilgileri istiyorsunuz ve sonuç almak için para ödemeniz gerekip gerekmediğini fark ediyorsunuz; [the results are] daha iyi [from] tüm pen-test şirketleri” dedi Black Hat Avrupa’daki katılımcılara.
Ancak bu 100.000 dolarlık ödeme ve gizlilik sözleşmesi Sullivan ve Uber’i rahatsız etti: Bu yılın mayıs ayındaki federal duruşmada Sullivan, gizlilik sözleşmesini örtbas etmek için kullanmakla suçlandı. Buradaki açılış konuşmasında, NDA’nın sorunu çözmenin ve ihlali çözmenin bir yolu olduğuna inandığını söyledi.
Sullivan’ın avukatları davayı yaptı Sullivan’ın hackerlara ödemeyi, ihlalin gerçekleştiği sırada Uber’in CEO’su Travis Kalanick’in ve Uber hukuk ekibi üyelerinin tam bilgisi ve onayıyla yaptığını söyledi.
Yargıç savcıya Uber’in CEO’sunun da neden sorumlu tutulmadığını sordu ve CEO’nun da en az Sullivan kadar suçlu olduğunu ancak henüz mahkemeye çıkmadığını ve yalnızca Sullivan’ın sorumlu tutulduğunu söyledi.
Tavsiye Sunmak
Sullivan’ın Uber ihlali ve bunun hukuki sonuçlarıyla ilgili deneyimi, bazı güvenlik uzmanlarının kariyer tavsiyesi için Sullivan’a danışmasına yol açtı. Artık ilk CISO’ları için görüşme yapan güvenlik profesyonelleri ona sık sık yaklaşıyor randevu. Bir zamanlar “İşi almak için ne söylemeliyim?” konusunda tavsiyesini istediklerini söyledi. ama şimdi, yasal davası ve SEC nedeniyle dosyalama masrafları SolarWinds CISO’suna karşı “Tüm bu kişisel riski neden üstleneyim?” gibi sorular alıyor. ve “CISO rolü strese değer mi?”
Sullivan, Dark Reading’e, bu güvenlik yöneticilerinin 2017’deki ilk manşetten bu yana onun tavsiyesine başvurduklarını söyledi; kendilerinde bir olay yaşanmasından endişe duyan ya da böyle düşünen kişiler benimle haftalık olarak iletişime geçiyor. ilerde.”
Güvenlik profesyonellerine, bir veri ihlalinin olası sonuçlarına karşı hazırlıklı olmaları için doğru kişisel korumaya sahip olduklarından emin olmalarını tavsiye ediyor.
Yakın zamanda yapılan bir görüşmede, güvenlik uzmanının bir CISO iş teklifini kabul etmesini, ancak önce saldırıların, güvenlik açığının ve ihlal ifşasının inceliklerini anladıklarından emin olmak için genel danışman ve şirketin CEO’su ile konuşmasını önerdi.
Ayrıca kişisel bir olay müdahale planı oluşturmanızı ve bir ihlalden kişisel olarak nasıl kurtulacağınızı düşünmenizi önerdi. Kendi yasal temsilinize, sigortanıza ve ailenizle ilgili planlarınıza bakın, dedi.
Kişisel olay müdahale planına ilişkin tavsiyeleri gösteren slayt
Bir ihlale hazırlanmak ve hayatta kalmak için bir strateji olarak Sullivan, itfaiye teşkilatı benzetmesini kullandı. “Sırasında [one] Ekip büyük bir yangını söndürüyor, itfaiye istasyonunda başka bir ekibin uyuduğunu göreceksiniz [and] başka bir ekibin motoru parlattığını göreceksiniz.”
İtfaiye teşkilatlarının önceden plan yaptığını ve takviyelerinin bulunduğunu belirtti, “ve bence ekiplerimizde kendi itfaiye teşkilatlarımızı oluşturarak daha iyi bir iş yapmalıyız ve şirket içi iletişim konusunda daha iyi olmalıyız. Daha fazla arkadaş edinmeliyiz. “