Dommen avsluttet en dramatisk sak som satte Sullivan, en fremtredende sikkerhetsekspert som var en tidlig anklager for nettkriminalitet for det amerikanske advokatkontoret i San Francisco, mot hans tidligere regjeringskontor. I mellom å straffeforfølge hackere og å bli straffeforfulgt, fungerte Sullivan som den øverste sikkerhetssjefen på Facebook, Uber og Cloudflare.
Dommer William H. Orrick satte ikke en dato for straffutmålingen. Sullivan kan anke hvis begjæringer etter rettssaken ikke klarer å sette dommen til side.
“MR. Sullivans eneste fokus – i denne hendelsen og gjennom hele hans utmerkede karriere – har vært å sikre sikkerheten til folks personlige data på internett, sa Sullivan-advokaten David Angeli etter at den 12-medlemmers juryen avsa sin enstemmige dom på den fjerde dagen av rådslagning.
Selv uten Sullivans jobbhistorie, ville rettssaken blitt overvåket som den første store straffesaken mot en bedriftsleder på grunn av et brudd fra utenforstående.
Det kan også være en av de siste: I løpet av de fem årene siden Sullivan ble sparket, har utbetalinger til utpressere, inkludert de som stjeler sensitive data, blitt så rutinemessig at noen sikkerhetsfirmaer og forsikringsselskaper spesialiserer seg på å håndtere transaksjonene.
«Å betale ut løsepenger tror jeg er mer vanlig enn vi er ført til å tro. Det er en holdning som ligner på en fenderbender, sier Michael Hamilton, grunnlegger av sikkerhetsfirmaet Critical Insight.
FBI-ledere, selv om de offisielt fraråder praksisen, har sagt de vil ikke forfølge menneskene og selskapene som betaler løsepenger hvis de ikke bryter sanksjonene som forbyr betalinger til navngitte kriminelle grupper spesielt nær den russiske regjeringen.
«Denne saken vil garantert få ledere, redningsmannskaper og alle andre knyttet til å bestemme seg for om de skal betale eller avsløre løsepenger, tenke litt hardere over sine juridiske forpliktelser. Og det er ikke en dårlig ting, sier Brett Callow, som forsker på løsepengevare hos sikkerhetsfirmaet Emsisoft. “Som det er, skjer for mye i skyggen, og den mangelen på åpenhet kan undergrave cybersikkerhetsinnsatsen.”
De fleste sikkerhetspersonell hadde ventet på Sullivans frifinnelse, og bemerket at han hadde holdt administrerende direktør og andre som ikke var siktet informert om hva som skjedde.
“Personlig ansvar for bedriftsbeslutninger med innspill fra utøvende interessenter er et nytt territorium som er noe ukjent for sikkerhetsledere,” sa Dave Shackleford, eier av Voodoo Security. “Jeg frykter at det vil føre til manglende interesse for vårt felt, og økt skepsis til infosec generelt.”
John Johnson, en “virtuell” informasjonssikkerhetssjef for flere selskaper, var enig. “Bedriftsledelsen din kan ta valg som kan ha svært personlige konsekvenser for deg og din livsstil,” sa han. “Å ikke si at alt Joe gjorde var riktig eller perfekt, men vi kan ikke begrave hodet og si at det aldri vil skje med oss.”
Påtalemyndigheten hevdet i Sullivans sak at hans bruk av en taushetserklæring med hackerne var bevis på at han deltok i en coverup. De sa at innbruddet var et hack som ble fulgt av utpressing da hackerne truet med å publisere dataene de tok, og at det derfor ikke skulle ha kvalifisert seg for Ubers bug-bounty-program for å belønne vennlige sikkerhetsforskere.
Men realiteten er at etter hvert som hackingen av selskaper har blitt verre, har måten selskapene har håndtert det på beveget seg langt forbi lovens bokstav da Sullivan ble anklaget for å bryte den.
Bug-premier krever vanligvis taushetserklæring, hvorav noen varer evig.
“Bug bounty-programmer blir misbrukt for å skjule sårbarhetsinformasjon. Når det gjelder Uber, ble de brukt til å dekke over et brudd», sa Katie Moussouris, som etablerte et bug-bounty-program hos Microsoft og nå driver sitt eget sårbarhetsløsningsselskap, i et intervju.
Saken mot Sullivan startet da en hacker sendte e-post til Uber anonymt og beskrev et sikkerhetsbrudd som tillot ham og en partner å laste ned data fra et av selskapets Amazon-depoter. Det kom frem at de hadde brukt en bortkommen digital nøkkel som Uber hadde forlatt for å komme inn på Amazon-kontoen, hvor de fant og hentet ut en ukryptert sikkerhetskopi av data på mer enn 50 millioner Uber-ryttere og 600 000 sjåfører.
Sullivans team styrte dem mot Ubers dusørprogram og bemerket at topputbetalingen under det var $10 000. Hackerne sa at de ville trenge seks tall og truet med å frigi dataene.
En langvarig forhandling fulgte som endte med en betaling på 100 000 dollar og et løfte fra hackerne om at de hadde ødelagt dataene og ikke ville avsløre hva de hadde gjort. Selv om det ser ut som en coverup, viste vitnesbyrd at Sullivans stab brukte prosessen for å få ledetråder som ville lede dem til den virkelige identiteten til gjerningsmennene, som de mente var nødvendig innflytelse for å holde dem ved sitt ord. De to ble senere arrestert og erkjente straffskyld for hackinganklager, og en vitnet for påtalemyndigheten i Sullivans rettssak.
Hindringsanklagen hentet styrke fra det faktum at Uber på det tidspunktet nærmet seg slutten av en etterforskning av Federal Trade Commission etter et stort brudd i 2014.
En siktelse for aktivt å skjule en forbrytelse, eller feilfengsel, kan også gjelde mange av bedriftssjefene som sender bitcoin til utenlandske hackere uten å fortelle noen andre hva som skjedde. Mens antallet av disse hysj-ups er umulig å få, er det helt klart et stort tall. Ellers ville ikke føderale tjenestemenn ha presset på nyere lovgivning som vil kreve løsepengevarevarsler fra kritiske infrastrukturofre til Cybersecurity and Infrastructure Security Agency.
Securities and Exchange Commission presser også på mer avsløring. Domfellelsen forbløffet bedriftssikkerhets- og overholdelsesledere og vil fange oppmerksomheten deres til detaljene i disse reglene.
Saken mot Sullivan var svakere i noen henseender enn man kunne forvente av en rettssak med sikte på å skape presedens.
Mens han rettet responsen til de to hackerne, var mange andre i selskapet i løkken, inkludert en advokat på Sullivans team, Craig Clark. Bevis viste at Sullivan fortalte Ubers daværende administrerende direktør, Travis Kalanick, innen timer etter å ha lært om trusselen selv, og at Kalanick godkjente Sullivans strategi. Selskapets sjefsadvokat for personvern, som hadde tilsyn med svaret til FTC, ble informert, og sjefen for selskapets kommunikasjonsteam hadde også detaljer.
Clark, den utpekte juridiske lederen for brudd, ble gitt immunitet for å vitne mot sin tidligere sjef. Ved kryssavhør erkjente han at han informerte teamet om at angrepet ikke måtte avsløres hvis hackerne ble identifisert, gikk med på å slette det de hadde tatt og kunne overbevise selskapet om at de ikke hadde spredt dataene videre, noe som til slutt kom til å skje.
Påtalemyndigheten ble overlatt til å utfordre “om Joe Sullivan muligens kunne ha trodd det,” som en av dem sa det i avslutningsargumentene fredag.
Sullivans advokat Angeli sa at den virkelige verden fungerte annerledes enn bug-bounty-idealer og retningslinjene som er lagt ut i firmahåndbøker.
“På slutten av dagen ledet Mr. Sullivan et team som jobbet utrettelig for å beskytte Ubers kunder,” sa Angeli til juryen.
Etter at Kalanick ble tvunget ut av selskapet for ikke-relaterte skandaler, kom hans etterfølger, Dara Khosrowshahi, inn og fikk vite om bruddet. Sullivan fremstilte det for ham som en rutinemessig utbetaling, sa påtalemyndigheten, og redigerte fra én e-post størrelsen på utbetalingen og det faktum at hackerne hadde skaffet seg ukrypterte data, inkludert telefonnumre, på titalls millioner av ryttere. Etter at en senere etterforskning viste hele historien, vitnet Khosrowshahi, sparket han Sullivan fordi han ikke fortalte ham mer før.
Ivrig etter å vise at de opererte i en ny æra, hjalp selskapet det amerikanske advokatkontoret med å bygge en sak mot Sullivan. Og påtalemyndigheten presset på sin side uten hell Sullivan til å implisere Kalanick, som ville ha vært en langt større premie, men som ikke ble fordømt av de overlevende skriftlige bevisene, ifølge folk som er kjent med prosessen.
Bug-premier var aldri ment å tilby så mye penger til hackere som kriminelle eller myndigheter ville betale. I stedet ble de designet for å tilby penger til de som allerede var tilbøyelige til å holde seg over styret.
Men selskapene er de som betaler regningen selv når programmene drives av eksterne leverandører som f.eks HackerOne og Bugcrowd. Tvister mellom forskerne som rapporterer sikkerhetshullene og selskapene med hullene er nå vanlig.
De to sidene er uenige om hvorvidt en feil var “i omfang”, dvs. innenfor områdene der selskapet sa at det ønsket hjelp. De er forskjellige om hvor mye en feil er verdt, eller om den er verdiløs fordi andre allerede hadde funnet den. Og de er forskjellige om hvordan, eller selv om, forskeren kan avsløre arbeidet etter at feilen er rettet eller selskapet velger å ikke endre noe.
Dusørplattformene har voldgiftsprosedyrer for disse tvistene, men siden selskapene betaler regningen, ser mange hackere skjevhet. For mye protestering, og de blir helt oppstartet fra plattformen.
“Hvis du hacker på et bug bounty-program for kjærligheten til å hacke og gjøre sikkerheten bedre, er det feil grunn, fordi du ikke har kontroll over om et selskap bestemmer seg for å lappe i rett tid eller ikke,” sa John Jackson. en forsker som kuttet ned på dusørarbeidet og nå selger sårbarhetsinformasjon når han kan.
Casey Ellis, grunnlegger av Bugcrowd, erkjente at noen selskaper bruker dusørprogrammer for å dempe problemer som burde vært avslørt under statlige eller føderale regler.
“Det er definitivt en ting som skjer,” sa Ellis.
Ransomware-angrep var sjeldne da Sullivan ble siktet, og vokste dramatisk i årene som fulgte til å bli en trussel mot USAs nasjonale sikkerhet.
Teknikkene i disse angrepene har også endret seg.
I begynnelsen av 2020 krypterte de fleste løsepengeprogrammer bare filer og krevde penger for nøkkelen for å låse dem opp. Ved slutten av det året inkluderte de fleste løsepengeangrep direkte tyveri av filer, og satte opp et nytt løsepengekrav for å forhindre offentlig utgivelse, ifølge en 2021-rapport av the Ransomware Task Force, en industriledet gruppe som inkluderer representanter fra US Cybersecurity and Infrastructure Security Agency, FBI og Secret Service.
Nylig har kryptovalutabørser blitt ranet og deretter forhandlet om å gi massive utbetalinger for å få disse midlene tilbake, en frikjøringspraksis som i liten grad ligner tradisjonelle dusører.
“Spesielt i løpet av de siste seks månedene i kryptoområdet, er modellen “bygg den til vi blir hacket, og vi vil finne ut av det derfra,” sa Ellis.
Ettersom gjennomsnittlige utbetalinger zoomet forbi Sullivans, til hundretusenvis av dollar, vendte flere bedrifter seg til forsikringsselskaper for forutsigbarhet.
Men ofte er det forsikringsselskapene begrunnet det var billigere å betale enn å dekke skadene fra tapte filer. Noen betalte regelmessig, og sørget for jevn inntjening for gjengene.
Å gjøre betalinger ulovlige, som noen har foreslått, ville faktisk ikke stoppe dem, har FBI sagt. Det ville i stedet gi utpresserne enda en klubb å holde over ofrene etter at betalingen er utført.
I det minste så langt har kongressen vært enig og avvist å forby transaksjonene. Noe som betyr at avtaler som Sullivans vil fortsette å skje hver uke.
Vil alle avsløres når det kreves i henhold til statlige lover eller føderale samtykkedekreter? Sannsynligvis ikke.
Men ikke forvent at de som hyser opp, havner i håndjern.