На этой неделе прокуратура Северной Калифорнии предъявила обвинения бывшему главе безопасности Uber, 52-летнему Джо Салливану (Joe Sullivan), который занимал данный пост с апреля 2015 года по ноябрь 2017 года. Его обвиняют в сокрытии информации о взломе компании в 2016 году, а также в причастности к этому взлому. Тогда в результате атаки были похищены личные данные 57 000 000 клиентов Uber, а также данные 600 000 водителей.

Согласно судебным документам, Салливан «предпринял преднамеренные шаги для сокрытия [инцидента], а также для отвлечения и введения в заблуждение Федеральной торговой комиссии». Кроме того, прокурор Дэвид Андерсон заявил, что скрывая взлом Uber от властей и собственного руководства, Салливан косвенно помогал хакерам взламывать другие компании.

«В прошлом году мы предъявили обвинения другим хакерам, и те признали себя виновными. В своих признаниях эти хакеры сообщили, что они взламывали компании, используя методы, аналогичные тем, которые использовались при взломе Uber. Если бы Салливан незамедлительно сообщил о взломе Uber, то взломы других компаний можно было бы предотвратить», — заявил прокурор.

Если Салливан будет признан виновным по обоим обвинениям, ему грозит тюремное заключение сроком на пять лет и три года соответственно.

Также весьма иронично, что до Uber Салливан два года занимался киберкриминалистикой и расследованием преступлений, связанных с взломом компьютеров. Он работал помощником прокурора США в том же офисе, который теперь предъявил ему обвинения.

Взлом

Напомню, что за прошедшие годы следствие установило, что за взломом компании Uber стояли 26-летний американец Брэндон Гловер (Brandon Glover) и 23-летний канадец Василь Мереакр (Vasile Mereacre). Осенью 2019 года они признали себя виновными в хищении данных 57 000 000 пассажиров и водителей Uber, а также данных 90 000 пользователей Lynda.com.

По информации из судебных документов, в 2016 году эти двое воспользовались «собственным инструментом для проверки учетных записей GitHub» и попробовали применить к аккаунтам GitHub учетные данные от других сайтов, ранее утекшие в открытый доступ. При этом взломщики нацеливались на корпоративных сотрудников, чтобы взломать наиболее ценные учетные записи и найти конфиденциальную информацию.

После проникновения в чужие аккаунты GitHub, Гловер и Мереакр искали учетные данные от Amazon Web Services (AWS), которые затем использовали для подключения к бэкэндам компаний и получения конфиденциальной информации (сведений о пользователях или бэкапов). Именно таким способом были похищены данные Uber, а также данные пользователей сайта Lynda.com, принадлежащего LinkedIn.

Однако просто украсть данные хакерам было мало. После взломов они принялись шантажировать пострадавшие компании. Для этого они создали ящик на Protonmail и вышли на связь с компаниями. Так, согласно данным следствия, в начале ноября 2016 года они связались с Салливаном по почте и заявили, что «обнаружили серьезную уязвимость», предоставив образец украденных данных. Гловер и Мереакр потребовали выплатить им 100 000 долларов в криптовалюте за обнаружение уязвимости.

Прокуроры говорят, что Салливан и его команда безопасности подтвердили достоверность присланных хакерами образцов данных в течение 24 часов после получения письма. Однако вместо того, чтобы уведомить об инциденте Федеральную торговую комиссую, как предписывает закон, Салливан согласился заплатить хакерам требуемую сумму, тем самым купив их молчание.

В судебных бумагах приводятся разговоры Салливана с Трэвисом Калаником (Travis Kalanick), тогда занимавшим должность генерального директора Uber. Они обсудили взлом, и Каланик дал добро на выплату хакерам выкупа, замаскированного под вознаграждение по программе bug bounty.

В итоге платеж был проведен через программу вознаграждения за уязвимости на HackerOne, и при этом Uber потребовала, чтобы хакеры подписали соглашение о неразглашении, которое запрещало им использование данных и публичное раскрытие информации о взломе. При этом в компании по-прежнему не знали даже настоящих имен взломщиков. В итоге свою «награду» Гловер и Мереакр получили в декабре 2016 года.

Следователи отмечают, что в конечном итоге команда безопасности Uber все же выследила и идентифицировала обоих хакеров, но вместо того, чтобы уведомить о случившемся власти, Салливан вынудил Гловера и Мереакра повторно подписать соглашение о неразглашении, на этот раз с указанием их настоящих имен. Хуже того, Салливан якобы настоял на том, чтобы хакеры подписали документ, согласно которому, они вообще не похищали никаких данных у Uber, хотя это было ложью.

Когда тайное стало явным

Правда о случившемся вышла на свет лишь в конце 2017 году, когда в Uber сменилось руководство, а Трэвиса Каланика на посту главы компании сменил Дара Хосровшахи (Dara Khosrowshahi).

Минюст США сообщает, что Салливан уведомил новое руководство об инциденте 2016 года,  однако он продолжил скрывать важные подробности взлома.

«Салливан не предоставил новому руководству важные детали случившегося. В сентябре 2017 года Салливан проинформировал нового CEO Uber об инциденте 2016 года по электронной почте. Салливан попросил свою команду подготовить краткое резюме о случившемся, но серьезно отредактировал полученный черновик. Среди внесенных им изменений было удаление сведений о том, что хакеры похитили данные, а также ложное заявление о том, что выплата взломщикам была произведена лишь после того, как хакеров идентифицировали», — рассказывают представители Минюста.

Детали случившегося и роль Салливана в произошедшем стали открываться лишь после того, как Дара Хосровшахи публично сообщил о взломе, а ФБР занялось расследованием, арестовало хакеров и получило доступ к внутренним коммуникациям компании.

Интересно, что теперь представители Джо Салливана утверждают, что обвинения Министерства юстиции не имеют под собой юридических оснований. Они распространили в СМИ следующее заявление:

«Обвинения против мистера Салливана, который является уважаемым экспертом в области кибербезопасности и бывшим помощником прокурора США, не имеют под собой оснований. Это дело строится вокруг расследования безопасности данных в Uber, проведенного большой многофункциональной командой, состоящей из представителей многих стран мира, ведущих экспертов по безопасности, включая самого мистера Салливана.
Если бы не усилия мистера Салливана и его команды, вполне вероятно, что лица, ответственные за этот инцидент, не были идентифицированы никогда. С самого начала мистер Салливан и его команда тесно сотрудничали с юридическим, коммуникационным и другими департаментами Uber, в соответствии с письменными служебными инструкциями. В этих правилах четко указано, что ответственность за принятие решения о том, будет ли раскрыт данный вопрос и если да, то кому, несет именно юридический отдел Uber, а не мистер Салливан или его команда».

Фото: Jim Wilson/The New York Times

1 комментарий

  1. Аватар

    Владиславище

    21.08.2020 в 13:50

    Не много странно… Есть CEO — начальник, есть подчинённые — в том числе и начальник службы безопасности. Судя по новости: Начальник СлБезопасности доложил об утечке CEO, далее получал от него распоряжения. Так претензии должны быть к CEO — как к начальнику.
    Или я ошибаюсь?

Оставить мнение