Hack mit $100K BTC-„Bug Bounty“-Auszahlung angeblich verdeckt

21. August 2020 Aus Von admin

Uber Exec soll 2016 Hack mit $100K BTC-„Bug Bounty“-Auszahlung angeblich verdeckt haben

Ein ehemaliger CSO wird beschuldigt, die Beteiligung von Uber an einer Datenverletzung im Jahr 2016 verheimlichen zu wollen, indem er den Hackern 100.000 Dollar in Bitcoin zahlte.

Joseph Sullivan, ein ehemaliger Chief Security Officer bei Uber, versuchte angeblich, einen Hack von 2016 mit sensiblen Daten zu vertuschen, indem er eine Schweigegeldzahlung von 100.000 Dollar in Bitcoin durch ein Bug-Bounty-Programm leitete.

Die Hacker hatten sich die Führerscheinnummern laut Bitcoin Billionaire von etwa 600.000 Uber-Fahrern sowie private Informationen von etwa 57 Millionen Benutzern beschafft.

Laut einer Mitteilung des US-Justizministeriums (DoJ) vom 20. August wurde Sullivan wegen Justizbehinderung und eines Schwerverbrechens im Zusammenhang mit dem Hack von 2016 angeklagt. Dem ehemaligen CSO wird vorgeworfen, „vorsätzliche Schritte unternommen zu haben, um die Federal Trade Commission (FTC) bezüglich des Datenbruchs und der damit verbundenen Schweigegeldzahlung von 100.000 Dollar Bitcoin (BTC) zu verbergen, abzulenken und irrezuführen“.

Das Justizministerium warf ihm vor, er habe verhindert, dass der FTC Kenntnis von der Verletzung gemeldet wird, indem er das Bitcoin-Schleichgeld durch ein Bug-Bounty-Programm geleitet habe. Normalerweise werden solche Programme für legitime Zahlungen an „White Hat“-Hacker verwendet, die über die Sicherheitsprobleme eines Unternehmens berichten, und nicht an diejenigen, die tatsächlich unautorisierte Daten erhalten.

„Wir werden illegale Schweigegeldzahlungen nicht tolerieren“, sagte der US-Staatsanwalt David Anderson. „Silicon Valley ist nicht der Wilde Westen.“

Die Behörde behauptet auch, Sullivan habe versucht, die Beteiligung des Unternehmens an dem Verstoß zu verbergen, indem er die Hacker aufforderte, Geheimhaltungsvereinbarungen zu unterzeichnen, in denen sie fälschlicherweise angaben, keine persönlichen Daten von Uber erhalten zu haben – selbst wenn sie anonym waren. Als bei einer Untersuchung zwei der für den Bruch verantwortlichen Personen entlarvt wurden, behauptet das DoJ, Sullivan habe die Hacker immer noch aufgefordert, NDAs zu unterzeichnen, anstatt sie zu melden.

Bradford Williams, ein Sprecher Sullivans, sagte in einer Erklärung gegenüber Cointelegraph: „Die Vorwürfe sind unbegründet“.

„Von Anfang an haben Mr. Sullivan und sein Team eng mit den Rechts-, Kommunikations- und anderen relevanten Teams bei Uber zusammengearbeitet, in Übereinstimmung mit den schriftlichen Richtlinien des Unternehmens“, erklärte Williams. „Diese Richtlinien stellten klar, dass die Rechtsabteilung von Uber – und nicht Mr. Sullivan oder seine Gruppe – dafür verantwortlich war, zu entscheiden, ob und wem die Angelegenheit offengelegt werden sollte.

Zwei der Hacker, die in den Bruch von Uber verwickelt waren, bekannten sich im Oktober der Verschwörung zum Computerbetrug schuldig und warten nun auf ihre Verurteilung.

Und was hat das für folgen?

Unternehmen werden zunehmend gezwungen, sich direkt mit Cyberkriminellen auseinanderzusetzen – obwohl sich die meisten dabei im Rahmen der Gesetze bewegen. Vertreter des in den USA ansässigen Geschäftsreiseunternehmens CWT konnten einen Rabatt von 50% für Hacker aushandeln, die eine Zahlung von 10 Millionen Dollar verlangten, nachdem sie im Juli sensible Dateien des Unternehmens gestohlen hatten.

Vor kurzem führte die Universität von Kalifornien eine einwöchige Verhandlung mit einer NetWalker-Ransomware-Gruppe, nachdem sie sieben Server der Institution abgeschaltet hatte. Die Universität konnte die Gruppe mit respektvoller und schmeichelhafter Sprache in ihren Chats davon überzeugen, von 3 auf 1 Million Dollar herunterzugehen.