قام مسؤول تنفيذي سابق للأمن في شركة اوبر العالمية بدفع مبلغ 100 ألف دولار للقراصنة المسؤولين عن خرق بيانات عام 2016، متسترا على الهجوم الذي سمح لهم بالوصول إلى حسابات Amazon Web Services الخاصة بالشركة وسرقة بيانات خاصة تتعلق بنحو 57 مليون مسافر وسائق.

وفي جديد التحقيق في هذه القضية، اتهم المدعي العام للولايات المتحدة الأميركية في المنطقة الشمالية من كاليفورنيا، المقيم جوزيف سوليفان، 52 عاما، بعرقلة سير العدالة وسوء فهم جريمة تتعلق بمحاولة التستر، عندما كان سوليفان رئيس الأمن في أوبر. وتزعم الشكوى أن سوليفان دفع بشكل احتيالي للمخترقين المسؤولين عن الهجوم، عن طريق برنامج مكافأة الأخطاء في أوبر.

وانتقد المدعي العام الأمريكي ديفيد إل أندرسون، الذي يحاكم القضية، سلوك سوليفان المزعوم في بيان صحفي، قائلا إن الدولة “لن تتسامح مع مدفوعات الأموال غير المشروعة. نتوقع مواطنة جيدة للشركات. نتوقع الإبلاغ الفوري عن السلوك الإجرامي. نتوقع التعاون مع تحقيقاتنا. لن نتسامح مع عمليات التستر على الشركات”.

 

قصة اختراق اوبر

لمن لا يعلم أو يتذكر القصة، في أكتوبر 2016، تمكن اثنان من المتسللين من الوصول إلى بيانات Uber المخزنة على حسابات Amazon Web Services ، باستخدام بيانات اعتماد مهندس برمجيات Uber الموجودة علىGitHub . فقاموا بسرقة قاعدة بيانات تحتوي على معلومات تعريف شخصية (PII) مرتبطة بـ 57 مليون مستخدم وسائق لدى اوبر. تضمنت قاعدة البيانات أرقام رخص القيادة لنحو 600 ألف شخص قادوا سياراتهم من أجل منصة النقل عبر الإنترنت.

في أعقاب السرقة، أرسل المهاجمون إلى سوليفان شخصيا رسالة بريد إلكتروني فدية للمطالبة بدفع ستة أرقام مقابل صمته، وفقًا للشكوى. دفع سوليفان لهم في النهاية 100000 دولار من البيتكوين من خلال برنامج مكافأة الأخطاء في أوبر، متخذًا خطوات متعمدة لإخفاء الأمر عن لجنة التجارة الفيدرالية (FTC) وتحويلها وتضليلها بشأن الانتهاك، كما يزعم المدعون.

من جهتها، تزعم الشكوى الفيدرالية قيام سوليفان بتستر مفصل تضمن خداع ليس فقط لجنة التجارة الفيدرالية ولكن أيضًا مطالبة موظفي أوبر بالتستر على المعلومات حول الخرق والدفع، بالإضافة إلى عدم إبلاغ المسؤولين بنطاقه.

في وقت خرق عام 2016، كان سوليفان على اتصال بالفعل مع لجنة التجارة الفيدرالية بشأن خرق بيانات عام 2014 في أوبر وقدم شهادة حول هذا الاختراق إلى سلطات إنفاذ القانون عندما حدث خرق 2016، وفقًا للمدعين العامين. في نهاية المطاف، تم تغريم أوبر 20 ألف دولار في عام 2016 من قبل المدعي العام في نيويورك لفشلها في الكشف عن خرق 2014.

 

سوليفان يتستر على المشكلة

بدلاً من إبلاغ لجنة التجارة الفيدرالية فورًا عندما اتصل به المتسللون، رتب سوليفان لهم أن يحصلوا على 100000 دولار في Bitcoin في ديسمبر 2016 من خلال برنامجUber Bug Bounty ، على الرغم من أنهم لم يكشفوا مطلقًا عن أسمائهم الحقيقية ومن الواضح أنهم ليسوا متسللين ذوي قبعة بيضاء، وفقا للمدعين.

كما جعل سوليفان المتسللين يوقعون اتفاقيات عدم إفشاء (NDAs) التي تضمنت الادعاء بأنهم لم يأخذوا أو يخزنوا أي بيانات. عندما سأل أحد موظفي أوبر سوليفان عن الكذب، أصر على بقائها في اتفاقية عدم الإفشاء، وفقًا للشكوى. حتى بعد أن حدد موظفو أوبر اثنين من الأفراد المسؤولين عن الخرق، جعلهم سوليفان يوقعون على اتفاقيات عدم إفشاء جديدة باستخدام أسمائهم الحقيقية التي لا تزال تتضمن معلومات خاطئة.

فقد سوليفان وأحد نوابه وظائفهم في نهاية المطاف بسبب فشلهم في الكشف عن الخرق، وهو أمر أعلنه المسؤولون عندما كشفوا عن الهجوم للجمهور في نوفمبر 2017. ومنذ ذلك الحين، شددت أوبر أيضًا السياسات المتعلقة ببرنامج مكافآت الأخطاء وقامت بتوضيح الحدود بين البحث والابتزاز.

تمت محاكمة المتسللين في القضية بالفعل في المنطقة الشمالية من كاليفورنيا، مع الاعتراف بالذنب في تهم التآمر على الاحتيال على الكمبيوتر في 30 أكتوبر 2019، وهم ينتظرون حاليا النطق بالحكم. أخبر الجناة المدعين العامين أنهم هاجموا بنجاح شركات التكنولوجيا الأخرى بعد أن فشل سوليفان في إبلاغ سلطات إنفاذ القانون بشأن مشاركتهم في اختراق أوبر.