Firmy działające na rynku cyberbezpieczeństwa zazwyczaj traktujemy jak podmioty zaufane. Wierzymy, że są to nie tylko podmioty rynkowe, ale również obrońcy cyberprzestrzeni z pewną misją. Oczywiście można się spotkać z teoriami spiskowymi mówiącymi, że te firmy same fabrykują niektóre zagrożenia, żeby mieć co robić. Teraz okazuje się, że w przypadku jednej firmy coś podobnego mogło mieć miejsce.

Sfałszowany wyciek?

W CNN możemy poczytać o zeznaniach whistleblowera, który opowiedział przed sądem o bardzo niepokojących praktykach firmy Tiversa. W roku 2010 ten człowiek wyciągnął wrażliwe dane medyczne z komputerów firmy LabMD zajmującej się badaniem raka. Następnie firma Tiversa wykorzystała te dane, aby zawiadomić LabMD o rzekomym wycieku danych. Tiversa zaproponowała LabMD odpłatną pomoc w usunięciu przykrych konsekwencji wycieku. 

LabMD odmówiła, bo miała wrażenie, jakby była szantażowana. W odpowiedzi na to Tiversa powiadomiła o wycieku amerykańskiego regulatora - Federalną Komisję Handlu (FTC). Oczywiście regulator wszczął dochodzenie. Firma LabMD broniła się w sądzie przed decyzjami regulatora, ale ostatecznie wyczerpała swoje zasoby i była zmuszona zwolnić 40 pracowników. Właściciel firmy nagłośnił sprawę w internecie.

Więcej niż jedno fałszerstwo?

Richard Wallace, który pracował dla firmy Tiversa, powiedział przed sądem o tym, jak firma fałszowała wycieki i próbowała wciskać groźbą swoje usługi. Wallace twierdził, że takie rzeczy działy się niejeden raz. To oznacza coś więcej niż tylko nadużycia firmy z rynku cyberbezpieczeństwa. Oznacza to również, że postępowania FTC były prowadzone na podstawie wadliwych, sfabrykowanych dowodów. 

Tiversa mogła fałszować informacje o innych wyciekach, np. o tym, że Irańczykom udało się zdobyć informacje o helikopterze Baracka Obamy. Newsy na ten temat publikowały takie media jak CNET czy Fox News. Według Wallace'a firma dysponowała wiedzą o adresach IP powiązanych z kryminalistami. Następnie twierdziła, że przy użyciu tych właśnie adresów dochodziło do udostępniania jakichś skradzionych treści. Dzięki temu ogłaszane przez firmę wycieki miały odpowiedni "efekt wow".

Czym właściwie jest wyciek?

Oficjalnie Tiversa zaprzecza zeznaniom Wallace'a. Ponadto ocena całej tej sytuacji może być złożona pod względem prawnym. Firma LabMD rzeczywiście nie zadbała należycie o bezpieczeństwo swoich danych i to właśnie wykorzystała firma Tiversa, która mogła wyciągnąć dane przedstawiane później jako pochodzące z wycieku. Pojawia się pytanie, czy samo istnienie luki można uznać za wyciek? Albo czy można uznać za wyciek sytuację, gdy firma Tiversa po prostu pozyskała dane, a następnie postraszyła LabMD? Odpowiedź nie będzie całkiem prosta dla prawników, tym bardziej że nie ma jednej dobrej definicji wycieku. Nawet jeśli Tiversa zrobiła coś złego, to nie usprawiedliwia całkowicie LabMD.

Jak oceniać działania Tiversy? Oczywiście takie firmy powinny zgłaszać zagrożenia i mogą oferować swoje usługi. Być może trudno wytyczyć granicę między ofertą a czymś, co brzmi jak groźba w razie niezakupienia usługi. Dla niektórych firm pojawienie się wycieku może być zabójcze, a to daje firmom takim jak Tiversa coś w rodzaju bata na klienta. W ocenie działań Tiversy istotna może być jedna rzecz: czy faktycznie doszło do fałszowania informacji o okolicznościach wycieków?

Jeśli chcecie poznać szczegóły tej sprawy, możecie zajrzeć do raportu, który opublikował amerykański kongresman Darell Issa.