Macos Brawte nfaq 0 Comments

ウーバーの元最高セキュリティ責任者がハッカーによるデータベースからの個人情報盗難を隠蔽したとして起訴される

Table of Contents

ウーバーの元最高セキュリティ責任者がハッカーによるデータベースからの個人情報盗難を隠蔽したとして起訴される

検察当局によると、ウーバーの最高セキュリティ責任者であるジョー・サリバン氏は、ハッカーがアプリ開発会社のデータベースから数百万人分の個人情報を盗んだことを隠蔽し、法律を犯したという。

52歳のサリバン氏は、eBay、Facebook、PayPalで勤務経験があり、本日、北カリフォルニア連邦地方検事局から司法妨害と隠蔽(法執行機関から犯罪情報を隠蔽すること)の罪で起訴された。同氏はかつてこの地方検事局に短期間勤務していた。これらの罪で起訴された場合、それぞれ5年と3年の懲役刑、および最高25万ドルの罰金が科せられる可能性がある。

政府によれば、この容疑[PDF]は、2016年にウーバーで起きたセキュリティ侵害をサリバン氏が隠蔽しようとしたことに端を発している。このセキュリティ侵害では、内部データベースから5,700万人の乗客と60万人のドライバーの個人情報が盗み出され、運転免許証の詳細も含まれていた。

FBIのマリオ・スカッセル特別捜査官によると、このハッキングは重大なもので、サリバン氏は侵入に「明らかに動揺」したという。特にウーバーは2014年のサイバー侵入の余波に対処していた時期だった。

「目撃者はまた、サリバン氏が個人的な会話の中で、またしても情報漏洩が起きてしまったとは信じられない、チームは情報漏洩の情報が漏れないようにしなければならなかった、と述べたと報告している」とスカッセル氏は今週の法廷文書で主張した。

身代金要求書

「自分のイメージをそんなに気にするな」…米検察官、ハッキング隠蔽でウーバーを激しく非難、2人が有罪を認める

続きを読む

サリバン氏は、連邦政府に通報してセキュリティの不備を公表する代わりに、ビットコインで10万ドルを買収して侵入者の沈黙を守り、詳細を秘密にしておくための秘密保持契約に署名させ、この事件をより正確にデータ漏洩と特徴付けるのではなく、Uberのシステムのバグを発見したことに対する報酬としてこの事件全体をごまかして、ハッキングをもみ消そうとしたと伝えられている。

もし法の文言に従っていたなら、サリバン氏と彼のチームは少なくとも情報窃盗をFTCとUberの本拠地であるカリフォルニア州のプライバシー規制当局に報告していただろう。FBIに通報してハッカーを捕まえるのも賢明だったかもしれない。しかし、FTCが事件について質問した際、サリバン氏は記録は盗まれておらず、単なるバグ報奨金の発見だったと答えたと伝えられている。この主張が、今回の刑事告発へと繋がった。

「この虚偽の報告により、ハッカーが実際にデータを盗んだという事実が隠蔽され、この事件はデータ侵害ではなく、典型的なバグ報奨金制度の申請のように見せかけられた」とスカッセル氏は記している。「サリバン氏はチームに対し、侵害に関する情報はセキュリティチーム外には必要最低限​​の関係者のみに開示し、会社はこの事件を『バグ報奨金』プログラムに基づいて処理するつもりだと指示した。」

代理人は、サリバン氏が当時のCEOであるトラビス・カラニック氏とスキャンダルの醸成について話し合い、侵入者へのバグ発見報奨金として支払いを偽装し「この件を解決させる」ことに同意したと主張した。カラニック氏の発言として伝えられている。

2017年、カラニック氏の退任後、ダラ・コスロシャヒ氏がUberの最高経営責任者(CEO)に就任しました。コスロシャヒ氏はデータベースへの侵入と賄賂の真相を知ると、直ちにサリバン氏と同僚幹部の一人に指示を出し、セキュリティ上の失態を公表しました。裁判所の文書によると、サリバン氏は以前、コスロシャヒ氏に賄賂の理由について嘘をついていたとのことです。

「重罪に関する情報を法執行機関から隠蔽することは犯罪だ」とFBIのクレイグ・フェア副特別捜査官は語った。

この事件は、法執行機関を覆そうとする長期にわたる試みの極端な例ですが、企業が立ち上がり、注意を払うことを願っています。犯罪的なハッカーが足跡を隠蔽するのを助けてはなりません。顧客にとって問題を悪化させず、個人情報を盗もうとする犯罪行為を隠蔽してはなりません。

政府の提出書類によると、この事件のもう一つの側面は、Uberから金銭を受け取った2人のハッカーが、UberがAmazonにホストするS3バケットから内部データを入手するにあたり、第三者の協力を得ていたようだという点だ。2人は盗んだ情報のコピーを友人に削除するよう依頼したが、実際に削除されたかどうかは不明だ。

2018年、サリバン氏は再び最高セキュリティ責任者としてCloudflareに復帰しました。CEOのマシュー・プリンス氏は、明らかに困難な立場に置かれていましたが、本日、以下の声明を発表しました。

ジョー・サリバン氏の疑惑は残念です。ジョー氏は米国検事として輝かしい経歴を持ち、eBay、PayPal、Facebook、Uber、Cloudflareの幹部を務めました。機会があればいつでも、私たちが可能な限り透明性を高めるよう訴えてきました。ジョー氏とご家族のために、この件が速やかに解決されることを願っています。

— マシュー・プリンス🌥 (@eastdakota) 2020年8月20日

サリバン氏にとって残念なことに、この問題はすぐに「迅速に解決」される可能性は低いだろう。彼の最初の出廷予定はまだ決まっていない。

Uberの広報担当者はThe Register紙に対し、「当社は引き続き司法省の捜査に全面的に協力します」と述べた。「2017年に事件を公表するという当社の決定は、正しい判断であっただけでなく、当社が現在事業を運営する上での原則、すなわち透明性、誠実性、そして説明責任を体現するものです。」

一方、配車アプリを開発する同社は、ドライバーの雇用形態をめぐってカリフォルニア州と争っており、より緊急の問題を抱えている。この新興ソフトウェア企業は、ライバル企業のLyftと共に、控訴裁判所の土壇場で審理の猶予を勝ち取った。少なくとも11月に住民投票が行われるまでは、サービスは継続される見込みだ。®

Macos

Smart Recommendations

Discover More