Uber’in CEO’su Dara Khosrowshahi Cuma günü mahkemede yaptığı açıklamada, 2016 güvenlik ihlali nedeniyle yargılanan eski Uber güvenlik şefi Joe Sullivan’ı artık ona güvenemeyeceği için kovduğunu söyledi.
Bay Khosrowshahi, Bay Sullivan hakkında “O benim baş güvenlik görevlisiydi ve artık onun kararına güvenemezdim” dedi. “İhlalin ifşa edilmemesi kararının yanlış bir karar olduğunu düşündüm.”
Bay Khosrowshahi, 57 milyondan fazla sürücü ve sürücünün Uber hesaplarını etkileyen 2016 ihlalini açıklamadığı için adaleti engellemekle suçlanan Bay Sullivan’ın davasında yıldız tanıktı. Bay Sullivan’ın avukatları, Uber’in Bay Khosrowshahi liderliğindeki yönetim ekibinin, şirket eski CEO’su Travis Kalanick’in başıboş saltanatının ardından imajını yeniden şekillendirmeye çalışırken haksız bir şekilde onu hedef aldığını savundu.
Ancak Bay Khosrowshahi, Uber’in ağındaki yeni bir ihlali araştırdığını söylemesinden bir gün sonra gelen ifadesi sırasında farklı bir tablo çizdi.
Bay Sullivan’ı 2016 olayıyla ilgili bir e-postada Bay Sullivan’ı yanlış yönlendirdiği için 2017’de kovduğunu söyledi. Bay Khosrowshahi, Uber’in daha sonra olayı kamu yararına olduğu için düzenleyicilere bildirdiğini de sözlerine ekledi.
Uzmanlar, denemenin sonucunun profesyonellerin güvenlik olaylarını ele alma şeklini değiştirebileceğini söyledi. Birçok kişi, Bay Sullivan’ın bir veri ihlaline yanıt olarak cezai kovuşturmayla karşı karşıya kalan ilk şirket yöneticisi olduğuna inanıyor.
Uber CEO’su Dara Khosrowshahi, 16 Eylül 2022 Cuma günü San Francisco, Kaliforniya’daki Joe Sullivan davasındaki ifadesinin ardından arabaya biniyor. Kredi… Jim Wilson/New York Times
Saldırı 2016 yılında, Federal Ticaret Komisyonu Uber’de daha önce gerçekleşen bir veri ihlalini araştırırken keşfedildi. Bay Sullivan, bir bilgisayar korsanından Uber’in çevrimiçi sistemlerinde büyük bir güvenlik açığı bulduğunu ve şirketten bilgi indirebildiğini iddia eden bir e-posta aldı.
Yaklaşık bir gün sonra, Bay Sullivan, mahkeme ifadesine ve belgelere göre bilgisayar korsanının yaklaşık 600.000 Uber sürücüsünün kişisel verilerini ve 57 milyon sürücü ve sürücüyle ilgili ek kişisel bilgileri içeren bir veritabanı indirdiğini öğrendi.
Bay Sullivan ve ekibi sonunda bilgisayar korsanını ve bir suç ortağını Uber’in güvenlik açıklarını tespit etmek ve raporlamak için güvenlik araştırmacılarına ödeme yapmanın yaygın bir yolu olan hata ödül programına yönlendirdi. Program aracılığıyla Uber, bilgisayar korsanlarına 100.000 dolar ödedi ve onlara ifşa etmeme anlaşmaları imzalattı.
Uber, 2017 sonbaharında Bay Khosrowshahi’nin baş yönetici olarak devralmasına kadar olayı kamuya açıklamadı veya FTC’yi bilgilendirmedi. İki bilgisayar korsanı sonunda bilgisayar korsanlığını kabul etti.
Çoğu eyalet, bilgisayar korsanları kişisel olarak tanımlanabilir verileri indirirse ve belirli sayıda kullanıcı etkilenirse, şirketlerin güvenlik ihlallerini ifşa etmesini ister. Şirketlerin veya yöneticilerin ihlalleri düzenleyicilere açıklamasını gerektiren bir federal yasa yoktur.
Federal savcılar, Bay Sullivan’ı, şirket zaten ajans tarafından soruşturma altındayken FTC’ye ihlali ifşa etmediği için bir ağır suçu gizlemekle suçladı.
Uzun süredir güvenlik ve gizlilik uzmanı ve daha önce FTC’de vakit geçirmiş avukat Whitney Merrill, “Birçok insan, Joe Sullivan’ı kovuşturmanın güvenlik uzmanları için ne anlama geldiği konusunda gerçekten korkuyor” dedi. hükümetle kim iletişim kurmalı: Hükümetle iletişime önemli bir şey değilmiş gibi davranamazsınız.”
Bay Khosrowshahi, Uber’in CEO’luğunu devraldıktan sonra veri ihlalini öğrendiğini ve Bay Sullivan’dan e-posta yoluyla ek ayrıntılar vermesini istediğini söyledi.
Mahkeme ifadesine ve belgelere göre, Bay Sullivan birkaç gün sonra Bay Khosrowshahi’ye bir e-posta gönderdi. Daha sonra, Bay Khosrowshahi, dış firmalardan konuyu araştırmasını istedikten sonra, e-postanın bilgisayar korsanlarının sürücüler ve sürücüler hakkında kişisel bilgiler indirdiğini kabul etmediğini öğrendi.
Bay Khosrowshahi, e-postanın, Bay Sullivan ve ekibinin bilgisayar korsanlarına büyük ödül programı için genellikle büyük bir miktar olan 100.000 dolar ödediğini açıklamadığını da öğrendiğini söyledi.
Standda, “Öğrendiğim gerçeklere dayanarak, olayı düzenleyicilere açıklama yükümlülüğümüz vardı” dedi. “Bu güvenlik sorunları ciddi ve ifşa etme yükümlülüğü potansiyeli varsa, bunu yapmak zorundasınız. İnsanlar bundan etkileniyor.”
Uber, bir bilgisayar korsanının şirketin işyeri mesajlaşma sistemi Slack’te varlığını duyurduğu Perşembe günü tekrar ihlal edildiğini keşfetti. Bilgisayar korsanı, şirket tarafından veri, kod ve iletişimlerini yönetmek için kullanılan çok sayıda dahili sisteme erişimi olduğunu iddia etti. Uber, ihlalin kapsamını araştırdığı ve kolluk kuvvetlerini bilgilendirdiği için Perşembe akşamı Slack ve diğer kurumsal sistemleri kapattı.
Cuma günü Uber, bilgisayar korsanının gezi geçmişi gibi “hassas kullanıcı verilerine” erişim sağladığına dair hiçbir kanıt bulamadığını söyledi. Şirket, amiral gemisi uygulaması ve yemek dağıtım hizmeti olan Uber Eats dahil olmak üzere tüm hizmetlerinin çalıştığını söyledi.
Kate Conger raporlamaya katkıda bulundu.
Bay Khosrowshahi, Bay Sullivan hakkında “O benim baş güvenlik görevlisiydi ve artık onun kararına güvenemezdim” dedi. “İhlalin ifşa edilmemesi kararının yanlış bir karar olduğunu düşündüm.”
Bay Khosrowshahi, 57 milyondan fazla sürücü ve sürücünün Uber hesaplarını etkileyen 2016 ihlalini açıklamadığı için adaleti engellemekle suçlanan Bay Sullivan’ın davasında yıldız tanıktı. Bay Sullivan’ın avukatları, Uber’in Bay Khosrowshahi liderliğindeki yönetim ekibinin, şirket eski CEO’su Travis Kalanick’in başıboş saltanatının ardından imajını yeniden şekillendirmeye çalışırken haksız bir şekilde onu hedef aldığını savundu.
Ancak Bay Khosrowshahi, Uber’in ağındaki yeni bir ihlali araştırdığını söylemesinden bir gün sonra gelen ifadesi sırasında farklı bir tablo çizdi.
Bay Sullivan’ı 2016 olayıyla ilgili bir e-postada Bay Sullivan’ı yanlış yönlendirdiği için 2017’de kovduğunu söyledi. Bay Khosrowshahi, Uber’in daha sonra olayı kamu yararına olduğu için düzenleyicilere bildirdiğini de sözlerine ekledi.
Uzmanlar, denemenin sonucunun profesyonellerin güvenlik olaylarını ele alma şeklini değiştirebileceğini söyledi. Birçok kişi, Bay Sullivan’ın bir veri ihlaline yanıt olarak cezai kovuşturmayla karşı karşıya kalan ilk şirket yöneticisi olduğuna inanıyor.
Uber CEO’su Dara Khosrowshahi, 16 Eylül 2022 Cuma günü San Francisco, Kaliforniya’daki Joe Sullivan davasındaki ifadesinin ardından arabaya biniyor. Kredi… Jim Wilson/New York Times
Saldırı 2016 yılında, Federal Ticaret Komisyonu Uber’de daha önce gerçekleşen bir veri ihlalini araştırırken keşfedildi. Bay Sullivan, bir bilgisayar korsanından Uber’in çevrimiçi sistemlerinde büyük bir güvenlik açığı bulduğunu ve şirketten bilgi indirebildiğini iddia eden bir e-posta aldı.
Yaklaşık bir gün sonra, Bay Sullivan, mahkeme ifadesine ve belgelere göre bilgisayar korsanının yaklaşık 600.000 Uber sürücüsünün kişisel verilerini ve 57 milyon sürücü ve sürücüyle ilgili ek kişisel bilgileri içeren bir veritabanı indirdiğini öğrendi.
Bay Sullivan ve ekibi sonunda bilgisayar korsanını ve bir suç ortağını Uber’in güvenlik açıklarını tespit etmek ve raporlamak için güvenlik araştırmacılarına ödeme yapmanın yaygın bir yolu olan hata ödül programına yönlendirdi. Program aracılığıyla Uber, bilgisayar korsanlarına 100.000 dolar ödedi ve onlara ifşa etmeme anlaşmaları imzalattı.
Uber, 2017 sonbaharında Bay Khosrowshahi’nin baş yönetici olarak devralmasına kadar olayı kamuya açıklamadı veya FTC’yi bilgilendirmedi. İki bilgisayar korsanı sonunda bilgisayar korsanlığını kabul etti.
Çoğu eyalet, bilgisayar korsanları kişisel olarak tanımlanabilir verileri indirirse ve belirli sayıda kullanıcı etkilenirse, şirketlerin güvenlik ihlallerini ifşa etmesini ister. Şirketlerin veya yöneticilerin ihlalleri düzenleyicilere açıklamasını gerektiren bir federal yasa yoktur.
Federal savcılar, Bay Sullivan’ı, şirket zaten ajans tarafından soruşturma altındayken FTC’ye ihlali ifşa etmediği için bir ağır suçu gizlemekle suçladı.
Uzun süredir güvenlik ve gizlilik uzmanı ve daha önce FTC’de vakit geçirmiş avukat Whitney Merrill, “Birçok insan, Joe Sullivan’ı kovuşturmanın güvenlik uzmanları için ne anlama geldiği konusunda gerçekten korkuyor” dedi. hükümetle kim iletişim kurmalı: Hükümetle iletişime önemli bir şey değilmiş gibi davranamazsınız.”
Bay Khosrowshahi, Uber’in CEO’luğunu devraldıktan sonra veri ihlalini öğrendiğini ve Bay Sullivan’dan e-posta yoluyla ek ayrıntılar vermesini istediğini söyledi.
Mahkeme ifadesine ve belgelere göre, Bay Sullivan birkaç gün sonra Bay Khosrowshahi’ye bir e-posta gönderdi. Daha sonra, Bay Khosrowshahi, dış firmalardan konuyu araştırmasını istedikten sonra, e-postanın bilgisayar korsanlarının sürücüler ve sürücüler hakkında kişisel bilgiler indirdiğini kabul etmediğini öğrendi.
Bay Khosrowshahi, e-postanın, Bay Sullivan ve ekibinin bilgisayar korsanlarına büyük ödül programı için genellikle büyük bir miktar olan 100.000 dolar ödediğini açıklamadığını da öğrendiğini söyledi.
Standda, “Öğrendiğim gerçeklere dayanarak, olayı düzenleyicilere açıklama yükümlülüğümüz vardı” dedi. “Bu güvenlik sorunları ciddi ve ifşa etme yükümlülüğü potansiyeli varsa, bunu yapmak zorundasınız. İnsanlar bundan etkileniyor.”
Uber, bir bilgisayar korsanının şirketin işyeri mesajlaşma sistemi Slack’te varlığını duyurduğu Perşembe günü tekrar ihlal edildiğini keşfetti. Bilgisayar korsanı, şirket tarafından veri, kod ve iletişimlerini yönetmek için kullanılan çok sayıda dahili sisteme erişimi olduğunu iddia etti. Uber, ihlalin kapsamını araştırdığı ve kolluk kuvvetlerini bilgilendirdiği için Perşembe akşamı Slack ve diğer kurumsal sistemleri kapattı.
Cuma günü Uber, bilgisayar korsanının gezi geçmişi gibi “hassas kullanıcı verilerine” erişim sağladığına dair hiçbir kanıt bulamadığını söyledi. Şirket, amiral gemisi uygulaması ve yemek dağıtım hizmeti olan Uber Eats dahil olmak üzere tüm hizmetlerinin çalıştığını söyledi.
Kate Conger raporlamaya katkıda bulundu.