تفاصيل إدانة رئيس أمن أوبر السابق بتهمة التستر على قرصنة إلكترونية
تفاصيل جديدة حول إدانة جوزيف سوليفان رئيس الأمن السابق في شركة أوبر، بشأن التستر على خرق بيانات عام 2016 في شركة نقل الركاب العملاقة.
ترجمات - السياق
كشفت صحيفة فايننشال تايمز البريطانية، تفاصيل إدانة جوزيف سوليفان رئيس الأمن السابق في شركة أوبر، بشأن التستر على خرق بيانات عام 2016 في شركة نقل الركاب العملاقة، وإخفاء التفاصيل عن المنظمين الأمريكيين ودفع المال لاثنين من المتسللين مقابل سكوتهم.
وحسب الصحيفة، وجدت هيئة محلفين أن رئيس الأمن السابق لشركة أوبر مذنب بارتكاب جرائم فيدرالية للتستر على اختراق هائل أدى إلى اختراق المعلومات الشخصية للركاب والسائقين.
ويُعتقد أن المحاكمة -التي تمت مراقبتها عن كثب في دوائر الأمن السيبراني- هي الأولى التي يُتهم فيها ضابط أمن معلومات الشركة بإخفاء قرصنة، وقد رتب سوليفان، وهو نفسه المدعي الفيدرالي السابق، لدفع 100 ألف دولار للمتسللين بموجب برنامج أوبر لمكافأة الباحثين الأمنيين الذين يبلغون عن عيوب.
سير التحقيقات
ووفقًا لفايننشال تايمز، رأت هيئة المحلفين في سان فرانسيسكو، أن جوزيف سوليفان -الذي طُرد من الشركة عام 2017 - مذنب لعرقلته عمل لجنة التجارة الفيدرالية والفشل في إبلاغ السلطات عن جريمة عندما قام بالتستر على قرصنة عام 2016 بدلًا من الإبلاغ عنها.
وجراء هذه الإدانة يمكن أن يواجه سوليفان حكمًا بالسجن يصل إلى ثماني سنوات.
وحسب الاتهام، فقد سعى سوليفان إلى دفع المال للمتسللين عن طريق تحويل الأموال من خلال برنامج "مكافأة الأخطاء" الذي يكافئ المطورين على الكشف عن نقاط الضعف الأمنية دون التسبب في أي ضرر، وفقًا للشكوى الجنائية.
ونقلت الصحيفة عن ممثلي الادعاء قولهم: إن أوبر دفعت للمخترقين 100 ألف دولار بعملة البيتكوين المشفرة في ديسمبر 2016، وأراد سوليفان أن يوقعوا اتفاقيات سرية يتعهدون فيها بعدم الكشف عن أي شيء حول هذه المسألة.
وقال ممثلو الادعاء إن سوليفان اتخذ خطوات للتأكد من عدم الكشف عن البيانات التي تعرضت للاختراق في الهجوم.
ووفقًا لوثائق المحكمة، اتصل اثنان من المتسللين بفريق سوليفان لإخطار أوبر بوجود خلل أمني كشف المعلومات الشخصية لما يقرب من 60 مليون سائق وراكب على المنصة.
وكان سوليفان قد شغل منصب مدير السلامة في أوبر من أبريل 2015 إلى نوفمبر 2017.
وحسب الصحيفة، تزعم الشكوى الجنائية أن سوليفان ضلل الرئيس التنفيذي الجديد لشركة أوبر، دارا خسروشاهي، الذي تم تعيينه في منتصف عام 2017 ليحل محل ترافيس كالانيك، بشأن عمليات الاختراق.
وقال خسروشاهي إن اثنين من أعضاء فريق أمن المعلومات في أوبر، الذين "قادوا الاستجابة" التي تضمنت عدم تنبيه المستخدمين لخرق البيانات، طُردوا من الشركة التي تتخذ من سان فرانسيسكو مقرًا لها.
وأضاف رئيس أوبر أنه علم أن الغرباء اقتحموا خادمًا قائمًا على السحابة تستخدمه الشركة للحصول على البيانات وتنزيل قدر كبير من المعلومات.
بدورهم، رفض المتسللون -الذين أدلى أحدهم بشهادته أثناء المحاكمة- عرض الشركة البالغ عشرة آلاف دولار - وهو الحد الأقصى للدفع بموجب سياسة "مكافأة الأخطاء" الخاصة بشركة أوبر المصممة لتشجيع الكشف الخاص عن الثغرات الأمنية- وهددوا بالإفصاح عن البيانات إذا لم يتم دفع رسوم أكبر.
وبينت الصحيفة، أن الطرفين تفاوضا على دفعة قدرها مئة ألف دولار، الأمر الذي يتطلب توقيع اتفاقية عدم إفشاء والتزام بحذف أي بيانات مستخدم تم الحصول عليها، فيما أقر القراصنة في وقت لاحق بأنه مذنب بشأن الاتهامات الموجهة إليه.
حماية المستخدمين
من جانبهم، دافع محامو سوليفان عن أفعاله أمام المحكمة، قائلين إنه تصرف لحماية المستخدمين وأبلغ رؤساءه -بمن فيهم الرئيس التنفيذي آنذاك ترافيس كالانيك- بخرق البيانات.
ومع تأكيد الإدانة، رأت فايننشال تايمز أن النتيجة سترسل موجات صدمة عبر صناعة الأمن السيبراني، مما يثير تساؤلات حول من يجب أن يتحمل المسؤولية عند حدوث انتهاكات ضارة.
وتعليقًا على ذلك، نقلت الصحيفة عن الباحثة الأمنية الأمريكية والرائدة في مجال الأمن السيبراني كاتي موسوريس، قولها: "للأسف يتم إساءة استخدام برامج مكافآت الأخطاء لإخفاء معلومات الثغرات الأمنية، وفي حالة أوبر، تم استخدامها للتغطية على تسرب المعلومات".
فيما قالت ستيفاني هيندز، المحامية الأمريكية لمنطقة شمال كاليفورنيا، في بيان: "عمل سوليفان بشكل إيجابي على إخفاء خرق البيانات عن لجنة التجارة الفيدرالية واتخذ خطوات لمنع القراصنة من القبض عليهم".
وأضافت: "لن نتسامح مع إفشاء المعلومات المهمة عن الجمهور من قِبل المديرين التنفيذيين للشركات الذين يهتمون بحماية سمعتهم وسمعة أصحاب العمل أكثر من اهتمامهم بحماية المستخدمين".
وحسب الصحيفة البريطانية، تضمنت الملفات المسروقة الأسماء وعناوين البريد الإلكتروني وأرقام الهواتف المحمولة لملايين الركاب، وأسماء ومعلومات رخصة القيادة لنحو 600 ألف سائق، وفقًا لأوبر.
وأمام ذلك، تم إبلاغ المؤسس المشارك والرئيس المعزول كالانيك بالخرق بعد وقت قصير من اكتشافه، لكن لم يتم الإعلان عنه حتى علم خسروشاهي بالحادثة.
ولم ترد أوبر على طلب للتعليق على الحكم.
فيما قال كيسي إليس، المؤسس والرئيس التنفيذي للتكنولوجيا في بوجكرود، -وهي من أكبر شركات الكشف عن الثغرات والأخطاء في الإنترنت- ومقرها سان فرانسيسكو: إنها سابقة مهمة سببت بالفعل ضجة كبيرة في مجتمع أمن المعلومات، معتبرًا أن الأمر يسلط الضوء على المسؤولية الشخصية داخل مثل هذه الشركات الجماهيرية المهمة.
يذكر أن الدعوى المرفوعة ضد سوليفان بدأت عندما أرسل قراصنة بريدًا إلكترونيًا إلى أوبر يصفون فيه خرقًا أمنيًا سمح لهم ولشركائهم بتنزيل البيانات من أحد مستودعات أمازون التابعة للشركة.
وأشاروا إلى أنه باستخدام المفاتيح الرقمية التي احتفظت بها أوبر للعامة، اقتحموا حسابات أمازون، واستخرجوا نسخًا احتياطية غير مشفرة من البيانات لأكثر من 50 مليون راكب أوبر ونحو ستمائة ألف سائق.
