حاول "المتسللون الأخلاقيون" فتح أعين شركة تصنع برامج المقامرة ، للأخطاء في منتجاتها - ولكن في النهاية ذهب كل شيء إلى الجحيم
غالبًا ما يجد الأشخاص الذين يجدون مشكلة أمنية في إحدى الشركات صعوبة في إخبارها بذلك. ومع ذلك ، في كثير من الأحيان ، تكتسب مثل هذه المواقف طابع المواجهات العادلة والاتهامات المتبادلة بالهجمات والابتزاز.
ومع ذلك ، هذا ما حدث بالضبط عندما توقف مقر Atrient لتكنولوجيا الكازينو ، ومقره في ويست بلومفيلد ، ميشيغان ، عن الاستجابة لاثنين من الباحثين في مجال الأمن السيبراني من بريطانيا. حول أوجه القصور المزعومة في حماية الشركة. اعتقد الباحثون أنهم وافقوا على دفع مقابل عملهم ، لكنهم لم يتلقوا شيئًا. في 5 فبراير 2019 ، جاء أحدهم ، وهو ديلان ويلر ، أسترالي يبلغ من العمر 23 عامًا يعيش في بريطانيا ، إلى جناح Atrient في معرض في لندن ليتعامل شخصيًا مع كبير مسؤولي التشغيل بالشركة.
ما حدث بعد ذلك ليس واضحا تماما. يقول ويلر إن جيسي جيل ، مدير العمليات في Atrient ، جادل معه ، وفي النهاية مزق شارة. يصر جيل على أنه لم يفعل شيئًا من هذا القبيل ، ويتهم ويلر بمحاولة الابتزاز.
أدت هذه المشاكل إلى تهديدات قانونية وانحراف متبادل ، مع التعليق على Twitter. كان تود بيردسلي ، مدير الأبحاث في Rapid7 ، أحد المتفرجين لهذا الأداء. "رد فعلي الأول" ، قال مازح بيردسلي ، كان "إيه ، أود من المورد أن يضربني لفضح الضعف". هذا أفضل من أي مكافأة عن الأخطاء التي تم العثور عليها "".
البنغو للكشف عن نقاط الضعف:
- لا يزال لدينا أي خارقة.
- لا يمكننا قبول تقريرك دون عقد دعم فني ؛
- مستخدمونا العاديون لن يفعلوا هذا ، هذه ليست مشكلة ؛
- سيتم إغلاق هذا المنتج قريبًا ؛
- أمر بحظر الأعمال غير القانونية ؛
- الصمت التام.
- اتصلنا بالشرطة ؛
- نستخدم التشفير من الدرجة العسكرية ؛
- لذلك تم تصوره ؛
- نحن نعرف ذلك ، نحن نعمل على إصدار جديد ؛
- نحن لا نعتبر هذا نقطة ضعف ؛
- تركنا جميع الإعدادات الافتراضية ؛
- لمن تعمل؟
- ينعكس هذا التقييد في الوثائق ويعرف الجميع عنها ، ولا يوجد سبب لإصلاحها ؛
- هذا المنتج مخصص للاستخدام الداخلي ويجب ألا يكون لديه اتصال بالإنترنت.هذه القصة مجرد مثال على كتاب مدرسي للمشاكل التي يمكن أن تنشأ عند البحث عن نقاط الضعف واكتشافها.
تدعم العديد من الشركات الكبيرة وموردي التكنولوجيا مكافآت الأخطاء ، ويعيدون توجيه جهود المتسللين والباحثين عن الأمن لحل المشكلات في البرمجيات والبنية التحتية - ومع ذلك ، فإن الغالبية العظمى من الشركات ليس لديها آلية واضحة لأطراف ثالثة لتبادل المعلومات حول الثقوب فيها. الأمن.
يقول Beardsley الذي كشف النقاب عن مواطن الضعف لمثل هذه الشركات: "استجابةً لذلك ، تلقيت كل شيء من الصمت إلى التجاهل النشط -" لا أريد أن أسمع هذا! "- ورسائل تطالب بوقف الأعمال غير القانونية. كان هناك كل ذلك ، لكنني تلقيت العديد من المراجعات الإيجابية. "لقد عملت مع أشخاص لم تكن لديهم خبرة كافية في الكشف عن نقاط الضعف ، وساعدتهم على معرفة ذلك".
في هذه الحالة ، حاول اثنان من "المتسللين الأخلاقيين" عديمي الخبرة نسبياً حل مشكلة أمنية تبدو خطيرة نسبيًا بالنسبة لهم ، واعتقد مدراء Atrient أن اثنين من المتسللين غير المبدئيين كانوا يحاولون جني أموال منهم. بفضل التسجيل لمدة شهور للمكالمات والمراسلات عبر البريد الإلكتروني بين Wheeler و Atrient ومساهمين آخرين - بما في ذلك مشغل كازينو رئيسي في الولايات المتحدة الأمريكية وقسم FBI الإلكتروني - لدينا فكرة جيدة عن كيفية تطور الأمور.
شركة
مكتب Atrient في لاس فيجاس ، بالقرب من مطار McCarran الدولي
يقع Atrient West Bloomfield Headquarters في هذا المبنى.Atrient هي شركة صغيرة تعمل مع مكان ضيق للغاية في صناعة الكازينو والألعاب.
تأسست Atrient ، التي أسسها Sam Attisha و Dashinder Gill في أبريل 2002 ، لأول مرة فيسترون ، وتمت إعادة تسميتها بعد ذلك بعام ، وفقًا لسجل الولاية ، الذي شارك في البداية في الاستشارات الفنية. قدمت "حلولاً مخصصة" لتوظيف موظفي تكنولوجيا المعلومات ، وتطوير البرمجيات ، والخدمات الإبداعية ، وإدارة المشاريع. لفترة قصيرة ، دخلت الشركة الأعمال اللاسلكية عن طريق فتح شركة Vistron Wireless Inc. من أجل "توفير خدمات تسويقية وتكنولوجية للصناعة اللاسلكية" ، كما هو مذكور في وثائق تسجيل الشركة.
على مدار عدة سنوات من وجودها ، دخل تكامل برامج الكازينو عبر الإنترنت أيضًا في مجال نشاط الشركة. بحلول عام 2015 ، ركز Atrient بشكل أساسي على نظام ولاء مستخدمي كازينو PowerKiosk ، والذي يجمع بين ماكينات القمار الفردية ، والأجهزة الإلكترونية وتطبيقات الهاتف المحمول لتتبع لاعبي القمار ومنحهم مكافآت وألعاب خاصة وعروض تسويق. يمكن للنظام تتبع المستخدمين من خلال بطاقات الولاء أو عبر إشارات Bluetooth وتحديد الموقع الجغرافي باستخدام تطبيقات الهاتف المحمول ، وكذلك تخزين تكلفة المكافآت التي يتلقاها اللاعب.
لدى Atrient مكتب في لاس فيجاس للمبيعات ودعم العملاء ، ولكن يقع مقرها الرئيسي في مركز أعمال صغير في ويست بلومفيلد (ميشيغان). يقع في الطابق الثاني مع مكتب طبيب الأسنان ومكتب H&R Block Advisors وتحت مقهى دونات ومتجر للمراتب. مكتب Atrient هو شركة تكنولوجيا معلومات خارجية أخرى ،
Azilen ، التي لديها مكتبان آخران في الهند وواحد في بلجيكا. العلاقة بين Atrient و Azilen ليست مفهومة بالكامل ؛ يعمل الآن مطور واحد على الأقل من Azilen في Atrient في حيدر أباد ، الهند ، المسجلة في مايو 2018.
Atrient ، على ما يبدو ، في حالة جيدة إلى حد ما ، ولها شركاء من بين أكبر الشركات في مجال الكازينوهات والقمار. أبرمت Konami في عام 2014 معها حقوقًا حصرية لتوزيع منتجات برامج Atrient على عملاء Konami الحاليين. قامت Atrient أيضًا بدمج برامجها في أنظمة ألعاب Scientific Games Bally Technology و International Game Technology.
خلال العام الماضي ، أجرى Atrient محادثات مع Everi Holdings ، وهي شركة ألعاب وبرامج مالية ، بلغت ذروتها في 12 مارس 2019 ، عندما تم الإعلان عن أن Everi "ستكتسب بعض الأصول والملكية الفكرية" من Atrient. تم إنفاق الصفقة على 40 مليون دولار من خلال 20 مليون دولار من الأموال الحية والمدفوعات الإضافية في العامين المقبلين على أساس بعض الشروط المحددة في العقد. سعى الباحثون الأمن أن يسمع خلال هذه المفاوضات.
الباحثين
يتمتع باحثونا ببعض الخبرة في مجال أمن المعلومات ، لكن لا يمكنك تسمية المحاربين القدامى في المجال. يبلغ ويلر من العمر 23 عامًا ، وكان شريكه في Atrient بريطانيًا يبلغ من العمر 17 عامًا وقد تم استدعاء بن عبر البريد الإلكتروني والهاتف. يدرس Ben تقنية المعلومات ، وعلى Twitter والشبكات الأخرى تكتب تحت اللقب @ Me9187 ، أو ببساطة "Me".
واجه ويلر في الماضي مشاكل خطيرة مع القانون - لاحظ جيل على الفور هذا في الرد التحريري ، علقًا على أحداث 5 فبراير في معرض لندن. بمجرد وصوله إلى أستراليا ، اتهم ويلر بالقرصنة عندما كان قاصرًا ، ثم في العشرين من عمره هرب من الكفالة إلى جمهورية التشيك لتجنب الملاحقة الجنائية. يدعي ويلر نفسه أن قضيته قد أغلقت في أستراليا وقرر عدم متابعته. وقال إنه موجود الآن بشكل قانوني في بريطانيا ، والسلطات تدرك "ماضيه الإجرامي".
وقال ويلر لمكتب التحرير ، "لقد كان قيد التشغيل عندما كان عمري 14 عامًا ، وذكر أنه بموجب القانون الأسترالي ، لا يمكن نشر قضيته في شكل مطبوع (على الرغم من أن العديد من الصحف الأسترالية وصفت القضية بالتفصيل). "لكن على أي حال ، فقد انتهى الماضي". أحاول أن أكون شفافًا قدر الإمكان ، وأنا لا أحب حقيقة أن ماضيي يثير غضب أترينت. هذه هي صناعة أمن المعلومات ، والكثير من الناس لديهم ماض مظلم ".
اصطياد من خلال Shodan
من الإنترنت ، يمكنك الوصول إلى أكثر من 100000 خادم Jenkins ؛ العديد منهم لديهم نقاط ضعف يمكن العثور عليها من خلال Shodan.io و Censys.io.في 29 أكتوبر 2018 ، كان ويلر وأنا يبحثون عن أنظمة معرضة للخطر على الإنترنت. أرسلوا طلبات إلى محركي بحث عن الثغرات الأمنية - Censys و Shodan - من خلال مجموعة من طلبات الويب والأوامر المباشرة عبر سطر الأوامر الذي تدعمه هذه الأدوات. أثناء البحث ، عثروا على "باب مفتوح" - خادم
Jenkins ، الذي ، كما يقولون ، لم يكن قيد التشغيل.
يجب استخدام مشروع Jenkins ، المملوك أصلاً لشركة Sun Microsystems ، في عملية تطوير البرمجيات. يسمح لك باستمرار دمج وتجميع ونشر التجميعات. لديه مشاكل أمنية خطيرة للغاية ، بما في ذلك أوجه القصور السابقة التي سمحت له بتنفيذ التعليمات البرمجية عن بُعد ، مما مكن المهاجم من تنظيم رأس جسر في سلسلة تطوير برامج الشركة. يدعي Wheeler and Me أن خادم Atrient's Jenkins ، الذي كان يعمل على جهاز ظاهري يعمل بنظام Windows في الشبكة السحابية ، لم يكن قد تم إعداد ترخيص المستخدم له ، وببساطة ، فإن الوصول إلى وحدة تحكم الويب الخاصة بالخادم يمنح المستخدم حقوقًا إدارية. في هذا البيان ، يدعي Atrient أن هذا الزوجين استخدم كلمة مرور القوة الغاشمة للتخمين للوصول إلى الخادم.
قرر Wheeler and Me البحث في هناك ومعرفة ما إذا كان بإمكانهما تحديد مالك الخادم. باستخدام الوصول إلى الخادم لتنفيذ برنامج نصي Groovy ذي سطرين ، قاموا بإنشاء سطر أوامر بعيد سمح لهم ، وفقًا لهم ، بفحص الخادم بالكامل. استنادًا إلى المستندات والبيانات التي عثروا عليها ، قرروا استخدام الخادم من قِبل موظفي Atrient و Azilen لتطوير وإرسال رسائل خطأ حول منصة PowerKiosk ، بالإضافة إلى مستودعات الكود لتطبيقات الهاتف المحمول وخيارات الكشك لمختلف الكازينوهات. وجدوا أيضًا أن الخادم لديه بروتوكول نقل الملفات FileZilla ، بالإضافة إلى التواصل مع العديد من قواعد البيانات ، ومستودع شفرة المصدر ، ورمز العمل الذي يدعم واجهة برمجة تطبيقات PowerKiosk.
جيل تدعي أن الزوجين قد عثرا على منصة تجريبية حيث لم يكن هناك كود عمل. واحد على الأقل من الكازينوهات المدرجة على الخادم كان بيئة تجريبية. كان Casino Monaco كازينوًا مزيفًا يستخدم لعرض المنتجات في المعارض والمواد التسويقية من Atrient.
في 4 نوفمبر 2018 ، أرسل أنا وويلر رسائل بريد إلكتروني إلى مجموعة كاملة من العناوين في Atrient و Azilen - بما في ذلك المخرج Sam Attish - مع تحذير حول مشكلة أمنية على الخادم. وقالت رسائل البريد الإلكتروني "يرجى تمرير هذه التفاصيل إلى فرق الأمن ذات الصلة وننصحهم بالاتصال بي". كما سردت قواعد البيانات وواجهات برمجة التطبيقات المرتبطة بـ PowerKiosk ، وواجهة الويب والتطبيقات المحمولة المصممة خصيصًا لعملاء Atrient.
في كثير من الأحيان هذه رسائل البريد الإلكتروني تذهب دون إجابة. كانت مليئة بالأخطاء النحوية والأخطاء المطبعية ، ولم تشبه المراسلات المهنية النموذجية. يقول ويلر إن عطيشا أبلغه أن هذه الرسائل كانت في مجلد البريد العشوائي.
لكن بيردسلي قال إنه في تجربته يمكن تجاهل الرسائل المنسقة بشكل احترافي. "لقد كتبنا رسالة حول Guardzilla ، وهي عبارة عن كاميرا مراقبة منزلية WiFi تباع في محلات السوبر ماركت الكبيرة. وقال "لم نحقق شيئاً". "لقد قدمنا طلب دعم ، وتتبع الأشخاص الذين يعملون لدى الشركة من خلال LinkedIn ، وصحفي واحد وجد ممثلي الشركة وتحدثوا إلى واحد منهم."
وبعد كل هذا ، لم تستجب الشركة. قال بيردسلي: "لا تزال الكاميرا خطرة في الاستخدام". "تخزينها على AWS S3 ، حيث تكون جميع مقاطع الفيديو المنزلية الخاصة بك ، غير محمية."
لم يلر ويلر هذا الحد. بدأت هي وأنا في تغريدة ، محاولين جذب انتباه الجمهور إلى هذه المناسبة. في هذه المرحلة ، شارك Guise Bule في الموقف.
جذب الانتباه
قام Guise Bühl ، وهو مقاول أمن حكومي سابق ومؤسس مشارك لـ WebGap ، وهي شركة آمنة تعتمد على الويب ، بتأسيس SecJuice ، "نادي المؤلفين المرتبط بأمن المعلومات". في محاولة لتجنيد المساعدة في تعزيز الموقف ، التفت ويلر وأنا إلى بولي ، الذي أعاد نشر السجلات المتعلقة بـ Atrient. الآن تم حذف هذه التغريدات بالفعل.
اجتذبت مساعدة Beul انتباه منظمتين مهتمتين - مشغل كازينو كبير يستخدم برنامج Atrient و FBI.
في 9 نوفمبر ، اتصل حراس أمن الكازينو بي. في 10 نوفمبر ، تدخلت ويلر في القضية وأرسلت لهم وصفًا موجزًا لما وجدوه زوجين:
أنا زميلي الذي تحدثت معه على تويتر ، ثم بعثت برسالة. ترتبط مشكلة عدم الحصانة بأحد الموردين لديك ، Atrient ، وبنهجهم الرهيب للأمان ، نظرًا لأن الأكشاك تقوم بمعالجة ونقل البيانات غير المحمية عبر HTTP.
هذه العيوب ، التي نحاول تصحيحها ، أرغمتنا على الإعلان عن وجودها علنًا. من بينها مشاكل صغيرة (لن أفصح عن كل التفاصيل ، ولكن أحد الأمثلة الجيدة هي أن بياناتك المخزنة بواسطة الموفر موجودة على FTP ، وكلمة المرور وكلمة المرور هي ببساطة أسماء الشركات بأحرف صغيرة) ، وكبيرة الثقوب المرتبطة بمنتجاتها (PowerKiosk).
في نفس اليوم ، اتصل مكتب التحقيقات الفيدرالي ببولي عن التغريد. قام Beul بترتيب محادثة هاتفية عامة مع عملاء Wheeler و Me و FBI من قسم الجرائم الإلكترونية وفرع لاس فيجاس. سجلت ويلر محادثتهم.
أخبر ويلر مكتب التحقيقات الفيدرالي أنه وأنا لا نية لنشر المعلومات التي عثروا عليها ، لأنهم كانوا قلقين من شدة المشاكل. أخبر ويلر الوكلاء أنه في الواقع ، يمكن استخدامه "لطباعة النقود". وقال أيضًا إنه وأنا أجرى محادثة مع مشغل الكازينو ، لكنهما لم يتمكنا من الوصول إلى Atrient.
قال أحد عملاء مكتب التحقيقات الفيدرالي: "ربما يمكننا مساعدتك في ذلك".
وأشاد مدير الأمن في الشركة بتفاعل ويلر مع الكازينو في 11 نوفمبر. كتب إلى ويلر ، "أردت أن أشكرك شخصيًا على النهج المهني في الكشف عن المعلومات ، وعلى الرغم من أنك لم تتلق ردًا فوريًا من المورد ، فقد منحته فرصة ثانية لإصلاحه." اقترح "إرسال أي تجار إلى ويلر" ، واستفسر عن حجم قميصه وقبعاته.
في نفس اليوم ، نظّم مكتب التحقيقات الفيدرالي (FBI)
اتصالًا مشتركًا آخر - هذه المرة بمشاركة أترينت جيل في محادثة سجلها ويلر أيضًا ، قال جيل: "المعلومات التي قدمتها لنا مذهلة. نود أن نملكها. كيف يمكن تنظيم هذا؟ "
حتى هذه النقطة ، لم يتم ذكر المال في المحادثات. كان الباحثون يخططون لتقديم نتائجهم في يوم من الأيام في مؤتمر أمان الكمبيوتر ، لذلك لم يطلب Wheeler and Me إلا من "التجار" في مشغل الكازينو أن "يضيءوا" خلال الأداء.
ومع ذلك ، بعد ظهور فكرة عدم الكشف عن المعلومات في المفاوضات ، ذكر ويلر مكافأة اكتشاف الأخطاء. اقترح أن يدفع Atrient لشركته ما يعادل 140 ساعة من المشاورات ، وهو ما يقرب من 60،000 دولار ، على ما يبدو ، في تلك اللحظة ، استمر كل شيء.
حساب من فضلك
"عندما أقوم بالإفصاح بشكل متسق عن معلومات الثغرات الأمنية - أتصل ببائع البرنامج لأول مرة - من المهم جدًا أن أؤكد أنه" لا أحاول بيع أي شيء ، فأنا لا أبتزك ، ولا أحاول جعل هذه المكالمة عبارة عن عرض تقديمي لبيع منتجاتي المستقبلية "، يقول بيردسلي. "أنا دائما أؤكد هذا لعدة أسباب. أولاً ، لا أريد الذهاب إلى السجن. ثانياً ، بالنسبة لمعظم الناس ، يعد هذا حدثًا عاطفيًا جدًا ، خاصةً بالنسبة لأولئك الذين لم يتعاملوا من قبل مع الكشف عن نقاط الضعف. "
قال بيردسلي إنه عندما يكشف عن نقاط الضعف في كثير من الأحيان ، "اتضح أنني أول أخصائي أمن تابع لجهة خارجية يتحدث إليه الناس". لذلك ، "أحاول تخفيف الموقف إلى الحد الأقصى ، ويبدو لي أن هذه المهارة في مجال أمن تكنولوجيا المعلومات ليست كافية فحسب."
ومع ذلك ، ظهرت الآن فكرة المدفوعات في المحادثة ، وقرر الباحثون أن يتم دفعها. انتهت تلك الدعوة ، لكن المفاوضات استمرت. بعد طلبات إزالة "تغريدات سلبية Atrient" من حسابي وبعد طلبات تحديد موقع البيانات التي قام الزوجان بتنزيلها من خادم Atrient ، تحدث جيل و Attisha ومحامي Atrient مع Wheeler خلال عام 2018. قالوا إنهم سيرسلون إليه اتفاقية عدم الكشف حتى يتمكن من مناقشتها مع محاميه.
في 7 ديسمبر 2018 ، كتب محامي أترينت إلى ويلر رسالة بالبريد الإلكتروني تقول: "لدينا مسودة جاهزة. هل تريد منا أن نرسلها إلى محاميك ". طلب مني ويلر أن أرسل له مسودة. لكنه لم يطرد.
بعد أسبوع من ذلك ، أبلغ جيل ويلر في خطاب بأن مسودة "وصلت إلينا هذا الأسبوع. سام وأنا أدرسه. يمكننا إرسالها إليك يوم الاثنين [17 ديسمبر]. " ولكن كل العطلات لم يكن هناك أخبار منهم. في 4 كانون الثاني (يناير) 2019 ، شرح عطيش في بريد إلكتروني أنه وجيل ذهبوا في رحلات عمل.
مرت بضعة أسابيع في صمت. ثم ، في 21 يناير 2019 ، كتب عطيش:
سأرسل الاتفاق قريبًا. في أواخر يناير - أوائل فبراير سنكون في لندن. يمكننا الالتقاء هناك والتوقيع على اتفاق ، إذا كان ذلك يناسبك.
وافق ويلر ، وقال إنه يمكن أن يحضر إلى مؤتمر ICE في لندن ، حيث سجل كزائر.
ولكن مع اقتراب موعد المؤتمر ، توقف وصول رسائل أترينت.كان Atrient يتفاوض على شراء مع Everi في هذا الوقت. في مؤتمر ICE ، أعلنت Everi عن بدء "شراكة" مع Atrient ، وشاركت الشركتان منصة واحدة لعرض المنتجات المشتركة. بدأ ويلر بالشك في أنه تم إلقاؤه ببساطة ولن يتم الدفع له - وأراد التحدث شخصيًا مع مديري Atrient.
حزب حارق
, , Luta Security, „ , “. , , , [holding statement].
» , — . – , , ". , , « , ».
.
زار ويلر وصديقه كشك Atrient و Everi المشترك في مؤتمر ICE الخامس من فبراير. هناك رأى جيل ، مما أدى إلى مناوشات. ينص ويلر على أن جيل ذكر شيئًا عن "أصدقاء" ويلر. نشر ويلر على الفور شريط فيديو حول كيفية اتهامه جيل بالاعتداء - رغم أنه لم يكن هناك أي هجوم على الفيديو نفسه. نفى جيل كل شيء.في رسالة بالبريد الإلكتروني إلى Wheeler ، وفي مقابلة هاتفية لاحقة مع محررينا ، اتهم Gill Wheeler بالمشاركة في ابتزاز Atrient. سرعان ما أرسل جيل رسالة بريد إلكتروني إلى Wheeler و Me و Beaule:, ICE, , .
2018 , , . . .
, , , .
, :
- , , , .
- , .
- , , , , , , , , , , .
, , - .
, 9 , .
, . .
Atrient .
نشر Atrient بسرعة على Twitter بيانًا بخصوص الحادث في المعرض ، ثم قام بحذفه. (قال جيل أن هذا كان بسبب "الرد"). ثم تم إرسال نسخة أخرى من هذا البيان إلى طاقم التحرير لدينا وطبعات أخرى من بريطانيا. تقول:, . 2018 , , , . .
, , , , , secjuice.com, , .
, . .
6 2019 Atrient ICE « ». , , , . , , Atrient , , – , , ExCel.
. , .
اسم Dylan English مرتبط حقًا ببريد Wheeler الإلكتروني - يستخدم هذا الاسم المستعار للعمل في شركة أمن المعلومات الخاصة به. ومع ذلك ، في توقيع جميع رسائله إلى Atrient ، كان مشغل الكازينو ومكتب التحقيقات الفيدرالي هو اسمه الكامل الحقيقي ، لذلك كان ينبغي أن يعرفه جميع المشاركين في الأحداث.بإرسال رد على Atrient ، أرسل Wheeler رسائل إلى عملاء FBI ومشغل الكازينو ، قائلًا إنه تعرض للهجوم وأن Atrient لم يكن مهتمًا بإصلاح الثغرة الأمنية. ثم أخبر Beul كل شيء ، كما قدم له روابط لتسجيلات المحادثات مع FBI ولقطات الشاشة للنشر على SecJuice. الآن تم نشر تفاصيل مشكلات الأمان التي أبلغت بها شركة Wheeler and Me إلى Atrient.معرفة متى لدعم ، ومتى يمر
لا حلقات تطور هذا الوضع مفاجأة بيردسلي. "يتعرف الأشخاص المشاركون في الكشف عن نقاط الضعف بسرعة على الوضع الحالي - عادةً ما يفعل الناس ذلك كثيرًا ، لذلك نحن جميعًا نفعل ذلك بشكل سيء. ليس لدينا تعليمات حول كيفية التصرف المفضل. "حتى إذا سارت عملية الإفصاح المتفق عليها بشكل جيد - دون أي اتفاقات عدم الكشف ، والتهديدات القانونية ، وكل ذلك - فقد يستغرق الأمر شهورًا. لكن ميزة النهج الصحيح ، حسب بيردسلي ، هي أنه "ربما ستدرك الشركة بشكل أفضل الرجل التالي الذي سيأتي إليهم مع الكشف ، وربما لا يكون دقيقًا كما أنت. هذا كل ما يمكن أن تأمل فيه ".يُعد التفاعل بين Wheeler ومشغل الكازينو مثالًا على كيفية إجراء الكشف بشكل جيد - وقد سارت الأمور بشكل جيد ، لأن المشغل لديه خدمة الأمان الخاصة به ، والتي كانت جاهزة وتريد الاستجابة. كما ساعد عدم مناقشة المكافآت.لكن يبدو أن العداء بين أترينت والباحثين قد نشأ ليس فقط بسبب المال. لعبت لحظة هذا الكشف أيضًا دورًا ، عندما كانت الصفقة البالغة 40 مليون دولار على وشك الانتهاء. نظرًا لحالة العمل ، والفترة الزمنية القصيرة نسبيًا (وفقًا لمعايير الإفصاح) ، والطريقة التي سارت بها المحادثة ، فليس من المستغرب أن تكون عواطف Atrient قد اشتدت. وكانت الألعاب النارية لا مفر منه تقريبا.وقال بيردسلي ، وهو محارب قديم في الإفصاح: "اعلم أن هذا وضع طبيعي وأننا لا نستطيع أن نتوقع الكثير ، لكن إذا لم يكن لدى شخص ما خبرة ، يمكن أن تتخطى العواطف ويمكن أن يرى كل شيء شخصي للغاية. إن مسؤوليتنا ليس فقط تدريب الشركات الأمريكية على التعامل مع الإفصاحات ، ولكن أيضًا تدريب الأشخاص الذين يجدون هذه الأخطاء - وخاصة اليوم ، في عصر أصبح فيه الكشف العلني عن الأخطاء هو المعيار ، لذلك يجب ألا تتوقع أن الشخص يجب أن سوف نكون ممتنين لهذا ".