L' atto di accusa federale contro l'ex CSO di Uber per aver presumibilmente coperto un pagamento di estorsione facendolo sembrare una ricompensa per bug bounty, dovrebbe servire come un severo avvertimento per le aziende: creare parametri più precisamente definiti di ciò che costituisce una transazione di divulgazione di vulnerabilità legittima, quindi più rigorosamente farli rispettare.
Inoltre, le aziende devono comprendere meglio gli aspetti legali che differenziano un pagamento di taglie per insetti sopra le righe da un insabbiamento illecito.
Secondo una denuncia penale del Dipartimento di giustizia, Uber ha deviato dalle sue normali procedure di bug bounty quando nel 2016 ha sborsato $ 100.000 a due uomini che avevano utilizzato credenziali di accesso rubate per hackerare un account aziendale contenente informazioni su circa 57 milioni di clienti e conducenti Uber. Joe Sullivan, che all'epoca era CSO, avrebbe nascosto l'incidente alla Federal Trade Commission, che in precedenza aveva imposto a Uber alcune richieste di rivelare qualsiasi attività di violazione a seguito di un precedente incidente nel 2014.
(La denuncia afferma anche che l'ex CEO di Uber, Travis Kalanick, era a conoscenza delle circostanze; tuttavia, Kalanick non viene menzionato per nome, né sono state presentate accuse contro di lui.)
La denuncia rileva inoltre che i termini e le condizioni del programma bug bounty di Uber "non autorizzavano a premiare un hacker che aveva avuto accesso e ottenuto informazioni di identificazione personale di utenti e conducenti da sistemi controllati da Uber". Tra questi sistemi c'erano i bucket di archiviazione AWS, che è esattamente ciò che i due hacker – successivamente identificati come Brandon Glover di Winter Springs, Florida e Vasile Mereacre di Toronto, Canada – hanno compromesso.
Anche la richiesta di Sullivan che gli hacker firmassero accordi di non divulgazione per mantenere i dettagli segreti era atipica, ei documenti della dichiarazione di non divulgazione affermavano falsamente che gli hacker non avevano mai acquisito dati, aggiunge la denuncia. Inoltre, il pagamento di $ 100.000 è stato "di gran lunga la più grande ricompensa che Uber avesse mai pagato tramite il programma", che aveva ufficialmente stabilito il pagamento massimo a soli $ 10.000.
"Ciò che è accaduto nel 2016 è stata chiaramente un'estorsione, non un pagamento di taglie per bug", ha affermato Casey Ellis, fondatore e CEO del fornitore di piattaforma di divulgazione delle vulnerabilità Bugcrowd. "In un programma di bug bounty, i termini del coinvolgimento, compreso il pagamento, vengono stabiliti prima che avvenga qualsiasi tipo di hacking. Questo allineamento su tutti i lati facilita le interazioni tra le aziende e la comunità di ricercatori per test di sicurezza sicuri ed efficaci e riduce al minimo il potenziale di malinteso. Nell'estorsione, è il contrario e la minaccia di esposizione dei dati mette sotto pressione il pagamento ".
Sembra che ci siano due questioni in gioco qui: la comprensione degli standard legali e normativi e la definizione di solide politiche aziendali interne.
Leggi e regolamenti
Lisa Sotto, capo della pratica globale di privacy e sicurezza informatica presso Hunton Andrews Kurth, ha dichiarato a SC Media che ogni stato degli Stati Uniti ha istituito le proprie soglie minime per quando un'azienda deve inviare una notifica di violazione dei dati. Ad esempio, una caratteristica comune a tutti i 50 stati è la richiesta di notifica se i numeri di patente di guida vengono acquisiti da una parte non autorizzata.
Sotto ha detto che i dati soggetti a varie leggi sulla notifica delle violazioni “sono in realtà delineati con molta attenzione e includono elementi di dati come il numero di previdenza sociale e il numero di patente di guida; in alcuni stati, informazioni sulla salute; [e] in tutti gli stati, numero di conto finanziario ".
Ci si aspetta che le aziende si familiarizzino con questi requisiti e si assicurino anche di non entrare in conflitto con alcuno statuto normativo o di pagare entità che sono state inserite in elenchi di sanzioni federali, come il gruppo di crimini informatici noto come Evil Corp.
Vale anche la pena notare che, oltre all'ostruzione della giustizia, i pubblici ministeri hanno accusato Sullivan di "errata valutazione di un crimine" – in altre parole, l'occultamento attivo della commissione di un grave crimine da parte delle autorità. Ma allora cosa succede quando le aziende pagano silenziosamente gli aggressori ransomware che non rubano dati ma crittografano file e interrompono le operazioni? Anche questo nasconde un crimine?
Dal punto di vista delle forze dell'ordine e del diritto, i pagamenti di ransomware sono "un'area che deve ancora essere esplorata", ha affermato Sotto, che ha affermato che è sempre consigliabile che le aziende cerchino competenze legali in qualsiasi scenario di attacco informatico.
Brian Gorenc, direttore senior della ricerca sulle vulnerabilità e capo della Zero Day Initiative di Trend Micro, concorda con questa strategia.
"Le aziende devono coinvolgere il proprio consulente legale quando rispondono agli incidenti per evitare anche l'apparenza di scorrettezza", ha affermato Gorenc. "Il confine tra il pagamento del ransomware e il pagamento del ricatto può essere confuso a seconda dei tipi di attività – privata o quotata in borsa – e delle località. Coloro che rispondono agli incidenti dovrebbero anche avere una buona conoscenza di qualsiasi legislazione pertinente che possa influire sia sulle loro azioni che sulla loro divulgazione ".
Impostazione delle politiche aziendali
Oltre a rispettare la legge, le aziende dovrebbero anche fare in modo che i loro pagamenti di bug bounty aderiscano a politiche aziendali responsabili che definiscono cosa costituisce un pagamento legittimo e cosa costituisce estorsione.
Ad esempio, forse un hacker scopre una vulnerabilità sfruttabile e minaccia di pubblicarla senza dare all'azienda il tempo sufficiente per risolverla, a meno che non riceva una ricompensa superiore a quella che l'azienda era inizialmente disposta a dare. Se la società acconsente, ha ceduto all'estorsione?
In questo tipo di dilemmi, "La questione si riduce davvero a se avrebbero acquistato una segnalazione di bug in circostanze normali", ha detto Gorenc. “Un'altra chiave è il prezzo. Se il bug 'A' vale $ 10.000 una settimana ma vale $ 50.000 la successiva, probabilmente qualcosa non va. C'è anche la questione di quale azione intraprendere dopo aver acquistato una segnalazione di bug. Tenti di aggiustarlo o ti siedi sul rapporto? Se stai acquistando segnalazioni di bug che normalmente non acquisti, paghi più del dovuto e non cerchi di risolverle, è probabile che tu stia tentando di coprire qualcosa. "Se stai acquistando segnalazioni di bug non lo faresti normalmente acquistare, pagare più del dovuto e non tentare di risolverli, è probabile che tu stia cercando di coprire qualcosa ".
Naturalmente, a volte i programmi di bug bounty lasciano spazio all'interpretazione – ed è per questo che un linguaggio contrattuale chiaro e conciso è così importante.
"Se hai intenzione di eseguire un programma di bug bounty, devi essere molto chiaro con ciò che è in ambito e come funziona il processo di divulgazione", ha detto Gorenc. “I ricercatori possono parlare dei loro risultati una volta risolti? Le aziende agiscono su bug che non hanno ancora contratto? I bug risolti sono documentati? Tutte queste cose, e molto di più, devono essere definite prima dell'avvio di un programma ".
Allo stesso modo, si consiglia alle aziende di sviluppare le proprie politiche interne per la notifica della violazione dei dati. Ad esempio, un'azienda può considerare di avvisare il pubblico se determinate informazioni di contatto dell'utente sono state acquisite illegalmente, anche se la legge non richiede necessariamente tale azione, ha spiegato Sotto.
Un modo per garantire una policy sui bug bounty più solida è affidarsi a una piattaforma o un programma di divulgazione vulnerabile di terze parti credibile. Tali servizi "pongono limiti rigorosi su come gestire questo framework di bug bounty e rimangono assolutamente entro quei parametri", ha detto Sotto.
Nel 2019, Glover e Mereacre si sono dichiarati colpevoli in tribunale federale di aver violato gli account GitHub dei dipendenti Uber al fine di trovare e rubare le credenziali di archiviazione di AWS. Ellis ha espresso preoccupazione per il fatto che le azioni di Uber e dei due hacker condannati danneggino la comunità degli hacker white hat, che è arrivata così lontano in termini di guadagnarsi la fiducia di istituzioni pubbliche e private in modo che possano avere l'accesso al sistema di accesso necessario per trovare e annullare i pericolosi vulnerabilità.
"Sebbene il problema originale di Uber fosse chiaramente dalla parte della malafede, ha evidenziato quanto sia sfocato il confine tra l'hacking che attraversa i confini legali nel territorio oscuro e il tipo di hacking che può essere utile", ha detto Ellis. “In qualità di leader nello spazio della sicurezza informatica, abbiamo l'obbligo morale di supportare la prossima generazione di difensori di Internet mentre fanno avanzare la comunità degli hacker etici. Dobbiamo unirci per combattere le masse di cattivi attori dando potere agli hacker che operano con integrità e proteggendo loro e il loro lavoro ".
“Consiglio vivamente ad altri leader del settore di considerare il valore della comunità di ricercatori sulla sicurezza etica. Poiché Internet svolge un ruolo fondamentale sia nel nostro lavoro quotidiano che nella vita personale, questa comunità di difensori informatici in tutto il mondo lavora per rendere Internet un luogo più sicuro per tutti ".
Il post Lezioni da Uber: Sii chiarissimo sulla legge e le tue politiche sui bug bounty sono apparse per la prima volta su SC Media .