בתחילת החודש הורשע ג'ו סאליבן בבית משפט פדרלי בשתי עבירות חמורות שביצע לפני שש שנים כשהיה ה-CSO (סמנכ"ל האבטחה) של אובר (Uber). סאליבן שילם להאקרים דמי שתיקה בסך 100 אלף דולר, כדי להסתיר מהציבור ומהרשויות את מתקפת הסייבר החמורה שבה הם גנבו מידע על עשרות מיליוני לקוחות ונהגים.
מומחה האבטחה הוותיק קבע תקדים מפוקפק כמנהל הבכיר הראשון שהורשע פלילית בשיבוש הליכים והסתרת מידע בחקירת אבטחת סייבר רגולטורית, והוא עלול גם להיות מנהל האבטחה הראשון שנשלח למאסר על פעולות שביצע במסגרת מילוי תפקידו.
המשפט עורר גלים בעולם אבטחת הסייבר, ולהחלטת השופט יש השלכות דרמטיות על האופן שבו ארגונים צריכים ורשאים לטפל במשבר סייבר. בעבר, ארגונים שעברו מתקפת סייבר זכו לאמפתיה כקורבנות של עבריינים, והיו אף כאלו שהתגאו בכך שהותקפו, כאילו היו תושבי העורף שנושאים באורך רוח חצי אויב אכזר. ההרשעה הטרייה מייצגת את רוח התקופה החדשה, שבה ארגונים נדרשים להיות ערוכים למשברי סייבר, לנהלם בחוכמה ולנהוג בשקיפות מול נפגעי המתקפה, בעלי המניות, הציבור והרשויות.
לא תשתיק
הפרשה שבה הורשע סאליבן קשורה לפריצה לאובר ב-2016. זוג האקרים מצאו פרצת אבטחה חמורה בחברה וניצלו אותה כדי להגיע למאגר נתונים שלה, למאגר קוד המקור שלה בגיטהאב ולסביבת הענן שלה ב-AWS. הם גנבו משם מידע על 57 מיליון משתמשים ונהגים. בנובמבר אותה השנה שלחו ההאקרים אימייל לסאליבן, שבו סיפרו שביצעו פריצה משמעותית ודרשו כופר בתמורה למחיקת המידע שגנבו.
הדבר הנכון והחוקי לעשות היה לדווח ל-FTC על פריצה חדשה וליידע את הקורבנות שפרטיהם נחשפו בה. סאליבן ידע זאת, אבל חשש שדיווח על תקרית חדשה, בזמן שהחברה כבר נחקרת על התנהלותה הבעייתית בתקרית קודמת, תסבך את אובר ואותו
האירוע היה מדאיג בפני עצמו, אבל הנסיבות העצימו את חומרתו. כשנה וחצי קודם לכן, במאי 2014, חוותה החברה פריצה דומה: מהנדס פרסם בטעות בגיטהאב מפתחות לשרתי ה-AWS של החברה, והאקרים (אחרים) ניצלו זאת לגנוב מידע על 100 אלף נהגי אובר. אובר גילתה את הפריצה רק בספטמבר 2014, ורק בפברואר 2015 דיווחה עליה לקורבנות ולרשות הסחר הפדרלית (FTC).
זמן קצר לאחר הדיווח, החברה מינתה לראשונה CSO. לתפקיד נבחר סאליבן, מומחה אבטחת סייבר ותיק שבתפקידו האחרון היה מנהל האבטחה הראשי בפייסבוק. באותו זמן אובר כבר היתה תחת חקירת ה-FTC, ושנה וחצי מאוחר יותר, בתחילת נובמבר 2016, סאליבן העיד בשבועה בפני הרשות על תקרית 2014. עשרה ימים אחרי עדותו שם הגיע אליו האימייל שבישר לו על משבר הסייבר החדש.
הדבר הנכון והחוקי לעשות היה לדווח ל-FTC על הפריצה החדשה וליידע את הקורבנות. סאליבן ידע זאת - הוא עצמו היה מעורב בעדכון קורבנות פריצת 2014. אבל הוא חשש שדיווח על תקרית חדשה, בזמן שהחברה בחקירה על התנהלותה הבעייתית בתקרית הקודמת תסבך את אובר ואותו.
סאליבן סימס למנכ"ל ומייסד אובר, טרוויס קלניק, דיווח לו על התקרית והציע לטפל בה דרך ה-bug bounty של אובר. באג באונטי היא תוכנית שבה האקרים-אתיים מאסגרים לארגון פירצות אבטחה שמצאו בו, ונותנים לו זמן סביר לסגור אותן. בתמורה, הארגון מעניק להם בתמורה את הבאונטי - סכום כסף או קרדיט ציבורי על הגילוי. יש תוכניות באונטי שדורשות שמירה על סודיות, ואחרות מתירות לפרסם את הבאג אחרי שנסגר.
מטרת תוכניות הבאונטי היא לתת להאקרים תמריץ ופלטפורמה לדווח לארגון על פרצות, במקום שיפרסמו אותן בצורה לא אחראית שתגרום נזק, או ישתמשו בהן לרעה. באג באונטי, יודע כל מי שעוסק בסייבר, מיועד לתגמל פצחנים אתיים, לא פרצנים עבריינים שסוחטים את הארגון. אבל סאליבן, שרצה להסתיר את הפריצה, הציע למנכ"ל קלניק שהחברה תשלם להאקרים דרך הבאג באונטי, וכך תלבין אותה כאסגרה אתית. קלניק אישר את התוכנית, וכמוהו גם קרייג קלארק, עורך-דין פנימי בחברה.
סאליבן פנה להאקרים עם הצעה: הם יקבלו את הכסף בתמורה לחתימה על הסכם שבו הם מצהירים (שקרית) שלא הורידו מידע של החברה - כך שזו לא תיחשב פריצה שאובר מחוייבת לדווח עליה; ומתחייבים לשמור על סודיות. לכאורה באונטי, למעשה - דמי שתיקה. סאליבן הציע להם את הסכום המירבי בתוכנית הבאג באונטי, 10 אלף דולר; הם אמרו שהם רוצים סכום של שש ספרות או שהם מדליפים את המידע, וקיבלו 100 אלף.
סאליבן הציע להאקרים כסף בתמורה לחתימה על הסכם שבו הם מצהירים (שקרית) שלא הורידו מידע של החברה - כך שזו לא תיחשב פריצה שאובר מחוייבת לדווח עליה. סאליבן הציע להם 10 אלף דולר; הם אמרו שהם רוצים יותר, וקיבלו 100 אלף
סאליבן וקלניק שיתפו בסוד העניין את מנהל התקשורת הראשי ואת עו"ד הפרטיות הראשי של החברה, שהיה אחראי על התגובות ל-FTC. הם הסתירו את הסיפור מהציבור, מהלקוחות ומהנהגים שפרטיהם נגנבו, וכן מה-FTC ומדירקטוריון החברה.
לא תשקר
שנה עברה לפני שהפרשה נחשפה לציבור. קלניק התפוטר באמצע 2017 בעקבות שלל שערוריות שהיה מעורב בהן, והמנכ"ל החדש דארה חוסרושאהי, שנודע לו על התקרית המוסתרת, הורה על חקירתה. כשביקש מסאליבן מידע על הפרשה, ה-CSO המשיך לכרות לעצמו את הבור: הוא טען שהיה רק האקר אחד (שקר), שההאקר רק ניגש לתיקיות מידע של אובר אך לא לקח מידע (שקר), לא אמר שהבאונטי עמד על 100 אלף דולר (הסתרת מידע - הסכום החריג לזמנו ולתוכנית הבאג באונטי של החברה היה מושך את תשומת לבו של המנכ"ל), וטען שההאקר קיבל את הכסף רק אחרי שזהותו נחשפה בפני אובר (שקר).
חודשיים אחרי כניסתו לתפקיד המנכ"ל, ושנה אחרי האימייל מההאקרים לסאליבן, חוסרושאהי דיווח באתר החברה על תקרית 2016 והתנצל עליה. הוא הודיע שהחברה מיידעת את הרשויות ואת הקורבנות ופועלת לסייע להם במקרה שייעשה שימוש לרעה במידע שנגנב.
במקביל פנה לעריפת ראשים: הוא פיטר את סאליבן ואת עו"ד קלארק, שאישר את המזימה (ואח"כ קיבל חסינות כדי להעיד נגד סאליבן). "החלטתי לפטר את ג'ו כי הוא היה סמנכ"ל האבטחה שלי ולא יכולתי להמשיך לסמוך על שיקול דעתו כעובד שלי", העיד המנכ"ל במשפט והוסיף: "חשבתי שההחלטה לא להודיע על הפריצה בזמנו הייתה שגויה, וזה הוביל אותי להחליט שאני צריך לגייס מנהל אבטחה אחר".
ימים ספורים לאחר הפיטורים התפטרו במחאה שלושה מנהלים שעבדו תחת סאליבן. נכון לאותו זמן, סאליבן שילם רק במשרתו, וגם זה היה מחיר נסבל, כי חצי שנה בלבד לאחר מכן כבר התברג לתפקיד ה-CSO בקלאודפלייר.
לא תסתיר
הסתרת הפריצה היתה מעשה חמור שפגע בתדמית החברה ובאמון הציבור בה. ההתנהלות מול ההאקרים פגעה לא רק באובר, משום שאיפשרה להאקרים להמשיך בפעילותם העבריינית. "סאליבן פעל ביודעין להסתיר את דליפת המידע מה-FTC ונקט בצעדים למנוע את תפיסת ההאקרים", אמרה התובעת סטפני מ' הינדז עם פרסום הכרעת הדין.
הסיפור מאחורי ההאשמה הזאת מדהים: אובר, כאמור, חתמה על ההסכם עם ההאקרים שזהותם לא היתה ידועה לה ושילמה להם בביטקוין דרך צד שלישי. חודש לאחר מכן החברה גילתה את זהותו של אחד מהם, הודיעה לו על כך, ושלחה אליו ואל שותפו נציגים שיחתימו אותם שוב על הסכם הסודיות, הפעם בשמותיהם האמיתיים.
אובר לא היתה הקורבן היחיד - השניים טענו במהלך המו"מ עם החברה שפרצו גם לשרתים של חברות מכירת הכרטיסים להופעות StubHub ו-Seatgeek ושל פלטפורמת הלימוד המקוונת לינדה.קום של לינקדאין. מהאחרונה הם גנבו פרטים על 90 אלף משתמשים ובסוף 2016 פנו לחברה בדרישת כופר. אבל בניגוד לאובר, בלינקדאין לא מיהרו לשלם וניסו להפיל את ההאקרים בפח ולחשוף את זהותם, מה שגרם לפושעים לסגת מהתוכנית ולנתק מגע.
מפעל הפשיעה של ההאקרים פעל מאוקטובר 2016, חודש לפני שיצרו קשר ראשון עם אובר, ועד ינואר 2017, אז חתמו עם אובר על ההסכם בשמותיהם. זה כל כך מופרך שצריך לחזור על זה: אובר ידעה את זהות ההאקרים והחתימה אותם על מסמך שקושר אותם לפריצה למאגרי המידע שלה - שייתכן שהוא זה שהביא אותם לחדול מלפשוע - אבל לא הסגירה אותם לרשויות, מה שהיה מונע מהם לטרגט את לינדקאין. במקום זה היא שמרה את המסמכים ליצירת מאזן אימה מול ההאקרים, בבחינת "אנחנו יודעים מי אתם ויש לנו הודאה חתומה שלכם. אם תגלו שפרצתם לנו ושילמנו לכם כופר במסווה של באונטי - נסגיר אתכם למשטרה ונספר להם הכל".
אובר חתמה על הסכם עם ההאקרים שזהותם לא היתה ידועה לה ושילמה להם בביטקוין. חודש לאחר מכן החברה גילתה את זהותו של אחד מהם ושלחה לו ולשותפו נציגים שיחתימו אותם שוב על הסכם הסודיות, הפעם בשמותיהם
ההאקרים נעצרו והואשמו רק ב-2018, וב-2019 הועמדו לדין והודו באשמה. אובר איבדה את קלף המיקוח שלה נגדם, ולרשויות היה מספיק מידע לתפור את סאליבן (אחד משני ההאקרים אף העיד במשפטו של מנהל האבטחה). בסוף 2020 הוגשה נגדו קובלנה פלילית על ידי משרד התובע הכללי של מחוז צפון-קליפורניה. סאליבן מכיר היטב את המשרד הזה - הוא שימש תובע פדרלי שם, והיה אחד הראשונים להגיש תביעות על פשעי סייבר. השכלתו המשפטית ונסיונו כתובע רק מגבירים את חומרת מעשיו - הוא אמור היה לדעת שמעשיו יסבכו אותו עם החוק.
לא תפשע
משפטו של סאליבן ארך ארבעה שבועות והסתיים, כאמור, בהרשעה. השופט וויליאם ה' אוריק טרם קבע מועד למתן גזר הדין שלו. העונש המירבי על שיבוש הליכי חקירה הוא חמש שנות מאסר וקנס של 250 אלף דולר, ועל הסתרת פשע שלוש שנות מאסר וקנס של 250 אלף דולר.
"אנחנו לא נסבול הסתרה של מידע חשוב מהציבור על ידי חברי הנהלה תאגידית שיותר חשוב להם להגן על התדמית שלהם ושל מעסיקיהם מאשר להגן על המשתמשים", הזהירה התובעת הינדז. "כאשר התנהלות כזאת מפירה חוקים פדרליים, תהיה העמדה לדין". סאליבן טען, במידה מסוימת של צדק, שהוקרב במטרה לשפר את תדמית החברה וכדי להבטיח את ההשקעה של סופטבנק, שכשנודע לה על התקרית התנתה את כניסתה לאובר בפיטוריו. אובר תחת המנכ"ל חוסרושאהי סייעה לתביעה לבנות את התיק, וזו נמנעה מלהגיש כתבי אישום נגד הבכירים הנוספים שהיו בסוד העניין, ובראשם המנכ"ל הקודם קלניק, שכאמור אישר את התוכנית. גם דירקטוריון אובר לא נדרש לתת את הדין על עיוורונו למתרחש בחברה סביב הפרשה הזאת בפרט, ובתחום הגנת הסייבר בכלל.
חקירת תקרית 2014 הסתכמה ב-2017 בהסכם פשרה בין אובר ל-FTC. הרשות קבעה שאובר לא ניהלה את המשבר כראוי ולא הקפידה על אבטחת מידע, והטילה עליה עיצומים לא-כספיים שכללו בדיקות אבטחה חיצוניות דו-שנתיות למשך 20 שנה. תקרית 2016 הוכיחה שהחברה לא למדה את הלקח, והביאה את ה-FTC להטיל עליה הסכם פשרה מורחב שכחלק ממנו היא שילמה פיצויים של 148 מיליון דולר בהסכם פשרה מול התובעים הכלליים של כל מדינות ארה"ב. נוסף על כך, אובר נקנסה ב-385 אלף פאונד בבריטניה ו-600 אלף אירו בהולנד.
שתי תקריות הסייבר פגעו בתדמית הבעייתית-ממילא של אובר. אבל כמו במקרים דומים אחרים, גם כאן הנזק המשמעותי לא נבע ממשברי הסייבר עצמם, אלא מהטיפול הלקוי של החברה בהם. אין ארגון שחסין למשברי סייבר, אבל היערכות נכונה מראש יכולה לצמצם מאוד את הנזק שמשבר כזה יכול לגרום. ניהול משברי סייבר הופך לסבוך יותר לאור רגולציה מורכבת וחובות דיווח. חברות משתמשות במומחים להיבטים המשפטיים והרגולטוריים במדינות השונות, ובמנהלי משברים מקצועיים, הן לפני משבר והן במהלכו. נושאי תפקידים שלא מקבלים ייעוץ נכון במהלך משבר עלולים לעשות טעויות קריטיות ולשאת באחריות תאגידית וגם אישית, כפי שג'ו סאליבן חווה כעת על בשרו.
הלקח הבולט ביותר מהפריצות לאובר הוא שהסתרת מידע מהציבור והרשויות היא כבר לא אופציה לגיטימית, ונראה שאובר כבר הפיקה את הלקח הזה: בספטמבר השנה, באותו יום שבו המנכ"ל חוסרשאהי העיד במשפטו של סאליבן, החברה דיווחה שנפלה קורבן בשלישית. הזמן שעבר בין הפריצה לדיווח עליה עמד הפעם על שעות ספורות בלבד.
הכותב, עידו קינן הוא סמנכ"ל התוכן של סייטקטיק, חברה לייעוץ וניהול משברי סייבר