Security Operations

Condenan al ex CSO de Uber por encubrir una mega brecha en 2016

Joe Sullivan, que fue director de seguridad de Uber entre 2015 y 2017, ha sido condenado por un tribunal federal estadounidense por encubrir una violación de datos en la empresa en 2016.

Sullivan fue acusado de obstruir los procedimientos llevados a cabo por la FTC (la Comisión Federal de Comercio, el organismo estadounidense que protege los derechos de los consumidores), y de ocultar un delito.

El jurado le declaró culpable de estos dos delitos.

La primera vez que escribimos sobre la infracción que está detrás de este caso judicial tan visto fue en noviembre de 2017, cuando surgió la noticia.

Al parecer, la infracción siguió una “cadena de ataque” decepcionantemente familiar:

  • Alguien en Uber subió un montón de código fuente a GitHub, pero accidentalmente incluyó un directorio que contenía credenciales de acceso.
  • Los hackers se toparon con las credenciales filtradas y las utilizaron para acceder y hurgar en los datos de Uber alojados en la nube de Amazon.
  • Los servidores de Amazon violados revelaron información personal de más de 50.000.000 de usuarios de Uber y 7.000.000 de conductores, incluidos los números de permiso de conducir de unos 600.000 conductores y los números de la seguridad social (SSN) de 60.000.

Irónicamente, esta filtración se produjo mientras Uber estaba inmersa en una investigación de la FTC sobre una filtración que había sufrido en 2014.

Como puedes imaginar, tener que informar de una filtración masiva de datos mientras estás en medio de una respuesta al regulador sobre una filtración anterior, y mientras intentas asegurar a las autoridades que no volverá a ocurrir, tiene que ser una situación muy complicada.

De hecho, la infracción de 2016 se mantuvo en silencio hasta 2017, cuando la nueva dirección de Uber descubrió la historia y admitió el incidente.

Fue entonces cuando salió a la luz que los hackers que exfiltraron todos esos registros de clientes y datos de conductores el año anterior recibieron 100.000 dólares para borrar los datos y guardar silencio al respecto:

https://nakedsecurity.sophos.com/2017/11/22/uber-suffered-massive-data-breach-then-paid-hackers-to-keep-quiet/

Desde el punto de vista normativo, por supuesto, Uber debería haber informado de esta infracción de inmediato en muchas jurisdicciones de todo el mundo, en lugar de silenciarla durante más de un año.

En el Reino Unido, por ejemplo, la Oficina del Comisionado de Información hizo varios comentarios en su momento:

El anuncio de Uber sobre una filtración de datos oculta el pasado mes de octubre plantea enormes preocupaciones en torno a sus políticas de protección de datos y su ética. [2017-11-22T10:00Z]

Siempre es responsabilidad de la empresa identificar cuando los ciudadanos del Reino Unido se han visto afectados como parte de una violación de datos y tomar medidas para reducir cualquier daño a los consumidores. Ocultar deliberadamente las violaciones a los reguladores y a los ciudadanos podría atraer multas más altas para las empresas. [2017-11-22T17:35Z]

Uber ha confirmado que su violación de datos en octubre de 2016 afectó a aproximadamente 2,7 millones de cuentas de usuarios en el Reino Unido. Uber ha dicho que la violación afectó a nombres, números de teléfono móvil y direcciones de correo electrónico. [2017-11-29]

Los lectores de Naked Security se preguntaban cómo se podría haber realizado ese pago de 100.000 dólares al hacker sin que la situación pareciera aún peor, y nosotros especulamos:

Será interesante ver cómo se desarrolla la historia, si es que los actuales dirigentes de Uber pueden desarrollarla a estas alturas, claro. Supongo que se podrían disfrazar los 100.000 dólares como un “pago de recompensa por errores”, pero eso sigue sin solucionar el tema de decidir por sí mismo que no era necesario informar.

Parece que eso es exactamente lo que ocurrió: la brecha que se produjo exactamente en el momento equivocado en medio de una investigación que se describió como una “recompensa por bugs”, algo que normalmente depende de que la revelación inicial se haga de forma responsable, y no en forma de demanda de chantaje.

Normalmente, un cazador de bugs ético no robaría primero los datos y exigiría dinero para no publicarlos, como suelen hacer los delincuentes de ransomware hoy en día. En su lugar, un cazarrecompensas ético documentaría el camino que le llevó a los datos y las debilidades de seguridad que le permitieron acceder a ellos, y tal vez descargaría una muestra muy pequeña, pero representativa, para asegurarse de que, efectivamente, era recuperable de forma remota. Así, no adquirirían los datos en primer lugar para utilizarlos como herramienta de extorsión, y cualquier posible divulgación pública acordada como parte del proceso de recompensa por fallos revelaría la naturaleza del agujero de seguridad, no los datos reales que habían estado en peligro. (Las fechas preestablecidas de “divulgación antes de” existen para dar a las empresas tiempo suficiente para solucionar los problemas por su cuenta, al tiempo que se establece un plazo para garantizar que no intenten esconder el problema bajo la alfombra).

¿Correcto o incorrecto?

El escándalo por la infracción y el encubrimiento de Uber acabó con acusaciones contra el propio CSO, que fue acusado de los delitos mencionados.

 

El juicio de Sullivan, que duró algo menos de un mes, concluyó a finales de la semana pasada.

El caso atrajo mucho interés en la comunidad de la ciberseguridad, entre otras cosas porque numerosas empresas de criptomonedas, enfrentadas a situaciones en las que los hackers se han hecho con millones o cientos de millones de dólares, parecen cada vez dispuestas a seguir un camino muy similar de “reescribamos la historia de las violaciones”.

“Devuelve el dinero que robaste”, ruegan, a menudo en un intercambio de comentarios a través de la blockchain de la criptomoneda saqueada, “y te dejaremos conservar una cantidad considerable del dinero como pago de recompensa por errores, y haremos todo lo posible para mantener a las fuerzas de seguridad alejadas de ti”.

Si el resultado final de reescribir la historia de las infracciones de esta manera es que los datos robados se borran, evitando así cualquier daño inmediato a las víctimas, o que las criptomonedas robadas, que de otro modo se perderían para siempre, se devuelven, ¿el fin justifica los medios?

En el caso de Sullivan, el jurado parece haber decidido, tras cuatro días de deliberaciones, que la respuesta es “No”, y le ha declarado culpable.

Todavía no se ha fijado una fecha para la sentencia, y suponemos que Sullivan, que fue fiscal federal, apelará.

No pierdas de vista este blog, porque esta saga parece que se pondrá aún más interesante…