"Peretas etis" mencoba membuka mata perusahaan yang membuat program untuk perjudian, kesalahan dalam produknya - tetapi pada akhirnya semuanya menjadi kacau.
Orang-orang yang menemukan masalah keamanan di perusahaan sering kali kesulitan untuk memberi tahu. Namun, jauh lebih jarang, situasi seperti itu memperoleh karakter konfrontasi yang adil dan saling tuduh atas serangan dan pemerasan.
Namun, itulah yang terjadi ketika kantor pusat teknologi kasino Atrient, yang berkantor pusat di West Bloomfield, Michigan, berhenti merespons dua peneliti keamanan siber dari Inggris yang melaporkan tentang dugaan defisiensi dalam perlindungan perusahaan. Para peneliti berpikir mereka telah setuju untuk membayar pekerjaan mereka, tetapi tidak menerima apa pun. Pada 5 Februari 2019, salah satu dari mereka, Dylan Wheeler, seorang Australia berusia 23 tahun yang tinggal di Inggris, datang ke gerai Atrient di sebuah pameran di London untuk secara pribadi berurusan dengan chief operating officer perusahaan.
Apa yang terjadi selanjutnya tidak sepenuhnya jelas. Wheeler mengatakan bahwa Jesse Gill, COO Atrient, berdebat dengannya dan akhirnya merobek lencananya; Gill bersikeras dia tidak melakukan hal semacam itu, dan menuduh Wheeler mencoba memeras.
Masalah-masalah ini menghasilkan ancaman hukum dan saling menjatuhkan, dengan mengomentari di Twitter. Tod Beardsley, direktur riset di Rapid7, adalah salah satu penonton pertunjukan ini. "Reaksi pertama saya," canda Beardsley, "adalah" eh, saya ingin pemasok memukul saya karena mengekspos kerentanannya. " Ini lebih baik daripada hadiah untuk kesalahan yang ditemukan "".
Bingo untuk mengungkapkan kerentanan:
- kami masih belum memiliki peretasan;
- kami tidak dapat menerima laporan Anda tanpa kontrak dukungan teknis;
- pengguna biasa kami tidak akan melakukan ini, ini bukan masalah;
- produk ini akan segera ditutup;
- perintah untuk melarang tindakan yang melanggar hukum;
- keheningan total;
- kami memanggil polisi;
- kami menggunakan enkripsi tingkat militer;
- jadi dikandung;
- kami tahu tentang hal itu, kami sedang mengerjakan versi baru;
- kami tidak menganggap ini sebagai kerentanan;
- kami meninggalkan semua pengaturan default;
- kamu bekerja untuk siapa?
- pembatasan ini tercermin dalam dokumentasi dan semua orang mengetahuinya, tidak ada alasan untuk memperbaikinya;
- Produk ini ditujukan untuk penggunaan internal dan tidak boleh memiliki akses Internet.Kisah ini hanyalah contoh buku teks dari masalah yang dapat muncul saat meneliti dan menemukan kerentanan.
Banyak perusahaan besar dan pemasok teknologi mendukung penghargaan atas kesalahan, mengarahkan kembali upaya peretas pihak ketiga dan peneliti keamanan untuk memecahkan masalah dalam perangkat lunak dan infrastruktur - namun, sebagian besar perusahaan tidak memiliki mekanisme yang jelas bagi pihak ketiga untuk berbagi informasi tentang lubang di dalamnya. keamanan.
Mengungkap kerentanan untuk perusahaan-perusahaan seperti itu, Beardsley mengatakan, “Sebagai tanggapan, saya menerima semuanya dari diam hingga mengabaikan aktif -“ Saya tidak ingin mendengar ini! ”- dan surat-surat yang menuntut penghentian tindakan ilegal. Ada semua itu, tetapi saya menerima banyak ulasan positif. "Saya bekerja dengan orang-orang yang tidak memiliki cukup pengalaman dalam mengungkapkan kerentanan, dan saya membantu mereka mengetahuinya."
Dalam hal ini, dua "peretas etis" yang relatif tidak berpengalaman mencoba untuk menyelesaikan masalah keamanan yang tampaknya relatif serius bagi mereka, dan direktur Atrient berpikir bahwa beberapa peretas yang tidak berprinsip berusaha untuk menghasilkan uang dari mereka. Berkat rekaman berbulan-bulan panggilan dan korespondensi email antara Wheeler, Atrient dan pemegang saham lainnya - termasuk operator kasino utama di Amerika Serikat dan divisi cyber FBI - kami memiliki ide bagus tentang bagaimana hal-hal telah berkembang.
Perusahaan
Kantor Atrient Las Vegas, Dekat dengan Bandara Internasional McCarran
Kantor Pusat Atrient West Bloomfield berlokasi di gedung ini.Atrient adalah perusahaan kecil yang bekerja dengan ceruk yang sangat sempit di industri kasino dan game.
Atrient, didirikan pada bulan April 2002 oleh Sam Attisha dan Dashinder Gill, pertama dengan nama Vistron, Inc., dan setahun kemudian diganti namanya, menurut daftar negara bagian, awalnya terlibat dalam konsultasi teknis. Dia menawarkan "solusi khusus" untuk merekrut staf TI, pengembangan perangkat lunak, layanan kreatif, dan manajemen proyek. Untuk waktu yang singkat, perusahaan masuk ke bisnis nirkabel dengan membuka Vistron Wireless Inc. Untuk "menyediakan layanan pemasaran dan teknologi untuk industri nirkabel," sebagaimana dinyatakan dalam dokumen pendaftaran perusahaan.
Selama beberapa tahun keberadaannya, integrasi perangkat lunak kasino online juga telah memasuki bidang aktivitas perusahaan. Pada 2015, Atrient berfokus terutama pada sistem loyalitas pengguna kasino PowerKiosk, menggabungkan mesin slot individual, perangkat elektronik, dan aplikasi seluler untuk melacak pemain judi dan memberi mereka hadiah, permainan khusus, dan penawaran pemasaran. Sistem ini dapat melacak pengguna melalui kartu loyalitas atau melalui beacon Bluetooth dan geolokasi menggunakan aplikasi mobile, serta menyimpan biaya bonus yang diterima oleh pemain.
Atrient memiliki kantor di Las Vegas untuk penjualan dan dukungan pelanggan, tetapi kantor pusatnya berlokasi di pusat bisnis kecil di West Bloomfield (Michigan). Terletak di lantai dua dengan kantor dokter gigi dan kantor Penasihat Blok H&R, dan di bawahnya terdapat sebuah kafe donat dan toko kasur. Kantor Atrient adalah perusahaan IT outsourcing lain,
Azilen , yang memiliki dua kantor lagi di India dan satu di Belgia. Hubungan antara Atrient dan Azilen tidak sepenuhnya dipahami; setidaknya satu pengembang dari Azilen sekarang bekerja di Atrient di Hyderabad, India, terdaftar pada Mei 2018.
Atrient, tampaknya, merasa agak baik di ceruknya, dan memiliki mitra di antara perusahaan terbesar di bidang kasino dan perjudian. Konami pada tahun 2014 membuat perjanjian dengannya untuk hak eksklusif untuk mendistribusikan produk perangkat lunak Atrient kepada pelanggan Konami yang ada. Atrient juga mengintegrasikan perangkat lunaknya ke dalam sistem permainan Scientific Games Bally Technology dan International Game Technology.
Selama setahun terakhir, Atrient telah bernegosiasi dengan Everi Holdings, sebuah perusahaan perangkat lunak permainan dan keuangan, yang berpuncak pada 12 Maret 2019, ketika diumumkan bahwa Everi akan "memperoleh aset dan kekayaan intelektual" tertentu dari Atrient. Kesepakatan itu dihabiskan untuk $ 40 juta hingga $ 20 juta dalam bentuk uang hidup dan pembayaran tambahan dalam dua tahun mendatang berdasarkan kondisi tertentu yang ditentukan dalam kontrak. Peneliti keamanan berusaha untuk didengar selama negosiasi ini.
Peneliti
Peneliti kami memiliki beberapa pengalaman dalam keamanan informasi, tetapi Anda tidak dapat menyebut mereka veteran industri. Wheeler berusia 23 tahun, dan rekannya Atrient adalah warga Inggris berusia 17 tahun yang dipanggil Ben melalui email dan telepon. Ben mempelajari teknologi informasi, dan di Twitter dan jaringan lain menulis dengan nama panggilan @ Me9187, atau cukup "Me."
Wheeler di masa lalu memiliki masalah yang cukup serius dengan hukum - Gill segera mencatat ini dalam respons editorial, mengomentari peristiwa 5 Februari di pameran London. Setelah di Australia, Wheeler dituduh melakukan peretasan ketika ia masih di bawah umur, dan kemudian pada usia 20 ia melarikan diri dari jaminan ke Republik Ceko untuk menghindari penuntutan pidana. Wheeler sendiri mengklaim bahwa kasusnya ditutup di Australia dan memutuskan untuk tidak mengejar dia lebih jauh. Dia sekarang secara hukum hadir di Inggris, dan pihak berwenang mengetahui "masa lalu kriminalnya," katanya.
"Dia dihidupkan ketika saya berusia 14," Wheeler mengatakan kepada kantor editorial, dan mengatakan bahwa di bawah hukum Australia, kasusnya tidak dapat dipublikasikan dalam bentuk cetak (meskipun banyak surat kabar Australia menjelaskan kasus ini secara rinci). "Tapi bagaimanapun, masa lalu sudah berakhir." Saya mencoba untuk setransparan mungkin, dan saya tidak suka kenyataan bahwa masa lalu saya membuat Atrient gelisah. Ini adalah industri keamanan informasi, dan banyak orang memiliki masa lalu yang kelam. ”
Berburu melalui Shodan
Dari Internet, Anda dapat mengakses lebih dari 100.000 server Jenkins; banyak dari mereka memiliki kerentanan yang dapat ditemukan melalui Shodan.io dan Censys.io.Pada 29 Oktober 2018, Wheeler dan Me sedang mencari sistem yang rentan di Internet. Mereka mengirim permintaan ke dua mesin pencari kerentanan - Censys dan Shodan - melalui kombinasi permintaan web dan perintah langsung melalui baris perintah yang didukung oleh alat-alat ini. Selama pencarian, mereka menemukan "pintu terbuka" - server
Jenkins , yang, kata mereka, tidak memiliki kontrol akses dihidupkan.
Proyek Jenkins, awalnya dimiliki oleh Sun Microsystems, perlu digunakan dalam proses pengembangan perangkat lunak. Ini memungkinkan Anda untuk terus-menerus mengintegrasikan, menyusun, dan menggunakan majelis. Dia memiliki masalah keamanan yang cukup serius, termasuk kekurangan masa lalu yang memungkinkannya untuk mengeksekusi kode dari jarak jauh, yang memungkinkan penyerang untuk mengatur jembatan di rantai pengembangan perangkat lunak perusahaan. Wheeler dan Saya mengklaim bahwa server Jenkins Atrient, yang dijalankan pada mesin virtual Windows di cloud, tidak memiliki otorisasi pengguna yang diatur, dan hanya dengan mengakses konsol web server memberi hak administratif kepada pengguna. Dalam pernyataan ini, Atrient mengklaim bahwa pasangan ini menggunakan tebak kata sandi brute force untuk mendapatkan akses ke server.
Wheeler dan Aku memutuskan untuk mencari-cari di sana dan melihat apakah mereka dapat menentukan pemilik server. Menggunakan akses server untuk mengeksekusi skrip Groovy dua baris, mereka membuat garis perintah jarak jauh yang memungkinkan mereka, menurut mereka, untuk memeriksa seluruh server. Berdasarkan dokumen dan data yang mereka temukan, mereka memutuskan bahwa server digunakan oleh karyawan Atrient dan Azilen untuk mengembangkan dan mengirim pesan kesalahan tentang platform PowerKiosk, serta repositori kode untuk aplikasi seluler dan opsi kios untuk berbagai kasino. Mereka juga menemukan bahwa server memiliki Protokol Transfer File FileZilla, serta komunikasi dengan beberapa database, repositori kode sumber, dan kode kerja yang mendukung PowerKiosk API.
Gill mengklaim bahwa pasangan itu baru saja menemukan platform demo di mana tidak ada kode yang berfungsi. Setidaknya salah satu kasino yang terdaftar di server adalah lingkungan demo. Kasino Monako adalah kasino palsu yang digunakan untuk memamerkan produk di pameran dan materi pemasaran dari Atrient.
Pada tanggal 4 November 2018, Saya dan Wheeler mengirim email ke seluruh rangkaian alamat di Atrient dan Azilen - termasuk direktur Sam Attish - dengan peringatan tentang masalah keamanan di server. "Tolong sampaikan detail ini ke tim keamanan yang relevan dan sarankan mereka untuk menghubungi saya," kata email itu. Itu juga mendaftar database dan API yang terkait dengan PowerKiosk, antarmuka web dan aplikasi mobile yang dirancang untuk klien Atrient tertentu.
Seringkali email-email ini tidak dijawab. Mereka penuh dengan kesalahan tata bahasa dan kesalahan ketik, dan mereka tidak terlihat seperti korespondensi profesional yang khas. Wheeler mengatakan, Attisha memberitahunya bahwa surat-surat ini ada di folder Spam.
Tetapi Beardsley mengatakan bahwa dalam pengalamannya bahkan pesan yang diformat secara profesional dapat diabaikan. “Kami menulis pesan tentang Guardzilla, kamera pengintai rumah WiFi yang dijual di supermarket besar. Dan kami belum mencapai apa-apa, ”katanya. "Kami membuat permintaan dukungan, melacak orang yang bekerja untuk perusahaan melalui LinkedIn, dan seorang jurnalis bahkan menemukan perwakilan perusahaan dan berbicara dengan salah satu dari mereka."
Dan setelah semua ini, perusahaan tidak menanggapi. "Kameranya masih berbahaya untuk digunakan," kata Beardsley. "Penyimpanannya di AWS S3, tempat semua video rumah Anda, tidak dilindungi."
Wheeler tidak melangkah sejauh itu. Dia dan Aku mulai berkicau, berusaha menarik perhatian publik untuk kesempatan ini. Pada titik ini, Guise Bule terlibat dalam situasi tersebut.
Perhatian menarik
Guise Bühl, mantan kontraktor keamanan pemerintah dan salah satu pendiri WebGap, perusahaan berbasis web yang aman, juga mendirikan SecJuice, "klub penulis yang berhubungan dengan keamanan informasi". Mencoba meminta bantuan dalam mempromosikan situasi, Wheeler dan Aku menoleh ke Bule, yang mem-posting ulang catatan tentang Atrient. Sekarang tweet ini sudah dihapus.
Bantuan Beul menarik perhatian dua organisasi yang tertarik - operator kasino besar yang menggunakan perangkat lunak Atrient, dan FBI.
Pada 9 November, penjaga keamanan kasino menghubungi saya. Pada 10 November, Wheeler ikut campur dalam kasus ini dan mengirimi mereka deskripsi singkat tentang apa yang mereka temukan sebagai pasangan:
Saya rekan saya yang mengobrol dengan Anda di Twitter, dan kemudian mengirim surat. Kerentanan terkait dengan salah satu pemasok Anda, Atrient, dan pendekatan mengerikan mereka terhadap keamanan, karena kios memproses dan mengirimkan data yang tidak dilindungi melalui HTTP.
Kekurangan ini, yang kami coba perbaiki, memaksa kami untuk mengumumkan keberadaan mereka secara terbuka. Di antara mereka ada dua masalah kecil (saya tidak akan mengungkapkan semua detail, tetapi salah satu contoh yang baik adalah bahwa data Anda disimpan oleh penyedia di FTP, login dan kata sandi yang hanya nama-nama perusahaan dalam huruf kecil), dan besar lubang yang terkait dengan produk mereka (PowerKiosk).
Pada hari yang sama, Bule dihubungi oleh FBI tentang retweet-nya. Beul mengatur percakapan telepon umum dengan agen Wheeler, Me, dan FBI dari Divisi Cybercrime dan Cabang Las Vegas. Wheeler merekam pembicaraan mereka.
Wheeler mengatakan kepada FBI bahwa dia dan Aku tidak berniat menerbitkan informasi yang mereka temukan, karena mereka khawatir akan parahnya masalah yang ada. Itu, pada kenyataannya, dapat digunakan untuk "mencetak uang," kata Wheeler kepada agen. Dia juga mengatakan bahwa dia dan saya melakukan percakapan dengan operator kasino, tetapi tidak dapat mencapai Atrient.
"Mungkin kami dapat membantu Anda dengan ini," kata seorang agen FBI.
Interaksi Wheeler dengan kasino pada 11 November dipuji oleh direktur keamanan perusahaan dalam sebuah surat. Dia menulis kepada Wheeler, "Saya ingin mengucapkan terima kasih secara pribadi atas pendekatan profesional dalam pengungkapan informasi, dan bahwa meskipun Anda tidak menerima tanggapan langsung dari pemasok, Anda memberinya kesempatan kedua untuk memperbaikinya." Dia menyarankan "mengirim pedagang ke Wheeler," dan bertanya tentang ukuran T-shirt dan tutup kepalanya.
Pada hari yang sama, FBI mengorganisir
panggilan bersama lainnya - kali ini melibatkan Atrient's Gill. Dalam sebuah percakapan yang juga direkam oleh Wheeler, Gill mengatakan, "Informasi yang Anda berikan kepada kami sangat menakjubkan. Kami ingin memilikinya. Bagaimana ini bisa diatur? "
Hingga saat ini, uang tidak disebutkan dalam percakapan. Para peneliti berencana untuk suatu hari nanti mempresentasikan temuan mereka di sebuah konferensi keamanan komputer, sehingga Wheeler dan Me hanya meminta "pedagang" dari operator kasino untuk "bersinar" selama pertunjukan.
Namun, setelah gagasan perjanjian non-pengungkapan muncul dalam negosiasi, Wheeler menyebutkan hadiah untuk mendeteksi bug. Dia menyarankan agar Atrient membayar perusahaannya setara dengan 140 jam konsultasi, yaitu sekitar $ 60.000. Rupanya, pada saat itu semuanya berjalan.
Tolong, akun
"Ketika saya membuat pengungkapan informasi kerentanan yang konsisten - saya memanggil vendor perangkat lunak untuk pertama kalinya - sangat penting bagi saya untuk menekankan bahwa" Saya tidak mencoba menjual apa pun, saya tidak memeras Anda, saya tidak mencoba membuat panggilan ini sebagai presentasi untuk menjual produk masa depan saya ", Kata Beardsley. “Saya selalu menekankan ini karena beberapa alasan. Pertama, saya tidak ingin masuk penjara. Kedua, bagi kebanyakan orang ini adalah peristiwa yang sangat emosional, terutama bagi mereka yang sebelumnya tidak berurusan dengan pengungkapan kerentanan. "
Beardsley mengatakan bahwa sering ketika dia mengungkapkan kerentanan, "Saya menjadi spesialis keamanan pihak ketiga pertama yang diajak bicara orang." Oleh karena itu, "Saya mencoba memitigasi situasi secara maksimal, dan bagi saya tampaknya keterampilan di bidang keamanan TI tidak cukup."
Namun, sekarang gagasan pembayaran muncul dalam percakapan, dan para peneliti memutuskan bahwa mereka akan dibayar. Panggilan itu berakhir, tetapi negosiasi berlanjut.
Setelah permintaan untuk menghapus "tweet Atrient negatif" dari akun Me dan setelah permintaan untuk lokasi data yang diunduh pasangan dari server Atrient, Gill, Attisha dan pengacara Atrient berbicara dengan Wheeler selama 2018. Mereka mengatakan akan mengiriminya rancangan perjanjian tidak terbuka sehingga dia bisa mendiskusikannya dengan pengacaranya.Pada 7 Desember 2018, pengacara Atrient menulis surat kepada Wheeler, yang mengatakan: “Kami sudah menyiapkan konsep. Apakah Anda ingin kami meneruskannya ke pengacara Anda. " Wheeler memintaku untuk mengiriminya draf. Tapi dia tidak pernah diusir.Seminggu kemudian, Gill memberi tahu Wheeler dalam surat bahwa draf “tiba di kami minggu ini. Sam dan saya mempelajarinya. Kami dapat mengirimkannya kepada Anda pada hari Senin [17 Desember]. " Tetapi semua liburan tidak ada berita dari mereka. Pada 4 Januari 2019, Attisha menjelaskan dalam email bahwa ia dan Gill melakukan perjalanan bisnis.Beberapa minggu berlalu tanpa bicara. Kemudian, pada 21 Januari 2019, Attisha menulis:Saya segera mengirim perjanjian. Pada akhir Januari - awal Februari kami akan berada di London. Kami bisa bertemu di sana dan menandatangani perjanjian, jika itu cocok untuk Anda.
Wheeler setuju, dan mengatakan bahwa dia bisa datang ke konferensi ICE di London, ketika dia mendaftar sebagai pengunjung. Tetapi ketika tanggal konferensi mendekat, surat-surat dari Atrient berhenti tiba.Atrient sedang menegosiasikan pembelian dengan Everi saat ini. Pada konferensi ICE, Everi mengumumkan dimulainya "kemitraan" dengan Atrient, dan kedua perusahaan berbagi satu stan untuk menunjukkan produk bersama. Wheeler mulai curiga bahwa dia hanya terlempar dan tidak akan dibayar - dan dia ingin berbicara secara pribadi dengan direktur Atrient.
Pesta pembakar
Ketika sebuah perusahaan terkena kerentanan, Katie Mussouri, pendiri dan direktur Luta Security, mengatakan kepada kami, "Paling tidak, selalu lebih baik untuk tidak mengambil langkah-langkah yang tidak etis." Perusahaan dapat melakukan ini dengan menciptakan atau mengklarifikasi sikap mereka untuk mengungkapkan kerentanan, dan membatasi pernyataan publik mereka pada pernyataan bahwa perusahaan mengetahui masalah tersebut dan terlibat dalam solusinya [memegang pernyataan]."Anda tidak bisa menang di pengadilan opini publik," Mussouri menjelaskan. "Semakin besar organisasi, semakin etis tindakannya, atau akan mendapatkan citra yang kasar." Tetapi para peneliti, katanya, "semakin mudah untuk mempertahankan diri secara hukum dan sebelum opini publik, semakin profesional mereka."Namun, dalam kasus ini, tidak ada yang mengambil jalan ini. .Wheeler dan temannya mengunjungi gerai Atrient dan Everi bersama di konferensi ICE 5 Februari. Di sana dia melihat Gill, yang menyebabkan pertempuran kecil. Wheeler menyatakan bahwa Gill menyebutkan sesuatu tentang "teman" Wheeler. Wheeler segera memposting video tentang bagaimana ia menuduh Gill melakukan penyerangan - meskipun tidak ada serangan pada video itu sendiri. Gill membantah segalanya.Dalam email ke Wheeler, dan dalam wawancara telepon berikutnya dengan editor kami, Gill menuduh Wheeler berpartisipasi dalam pemerasan Atrient. Gill segera mengirim e-mail ke Wheeler, Me, dan Beaule:, ICE, , .
2018 , , . . .
, , , .
, :
- , , , .
- , .
- , , , , , , , , , , .
, , - .
, 9 , .
, . .
Atrient .
Atrient dengan cepat memposting di Twitter pernyataan mengenai insiden pameran, dan kemudian menghapusnya. (Gill mengatakan ini karena "restitusi"). Kemudian versi lain dari pernyataan ini dikirimkan kepada staf editorial kami dan edisi Inggris lainnya. Dikatakan:, . 2018 , , , . .
, , , , , secjuice.com, , .
, . .
6 2019 Atrient ICE « ». , , , . , , Atrient , , – , , ExCel.
. , .
Nama Dylan English sangat melekat pada email Wheeler - ia menggunakan nama panggilan ini untuk bekerja di perusahaan keamanan informasinya. Namun, dalam tanda tangan dari semua suratnya kepada Atrient, kepada operator kasino dan FBI adalah nama lengkap aslinya, sehingga semua peserta dalam acara tersebut seharusnya mengetahuinya.Dengan mengirimkan tanggapan kepada Atrient, Wheeler mengirim surat ke agen FBI dan operator kasino, mengatakan bahwa ia diserang dan bahwa Atrient tidak khawatir tentang memperbaiki kerentanan. Dia kemudian menceritakan segalanya kepada Beul, dan juga memberinya tautan ke rekaman percakapan dengan FBI dan tangkapan layar untuk publikasi di SecJuice. Sekarang rincian masalah keamanan yang dilaporkan Wheeler dan Me kepada Atrient telah dipublikasikan.Ketahui kapan harus mendukung, dan kapan harus lulus
Tidak ada episode perkembangan situasi ini yang mengejutkan Beardsley. “Orang-orang yang terlibat dalam pengungkapan kerentanan dengan cepat belajar tentang situasi saat ini - biasanya orang melakukan ini tidak terlalu sering, jadi kita semua melakukannya dengan buruk. Kami tidak memiliki instruksi tentang cara bertindak yang disukai. "Bahkan ketika pengungkapan yang disepakati berjalan dengan baik - tanpa perjanjian non-pengungkapan, ancaman hukum, dan semua itu - bisa memakan waktu berbulan-bulan. Tetapi keuntungan dari pendekatan yang tepat, menurut Beardsley, adalah bahwa “mungkin perusahaan akan lebih memahami pria berikutnya yang akan mendatangi mereka dengan pengungkapan, dan mungkin tidak sehalus Anda. Hanya itu yang bisa Anda harapkan. "Interaksi antara Wheeler dan operator kasino adalah contoh bagaimana Anda dapat melakukan pengungkapan dengan baik - dan itu berjalan dengan baik, karena operator memiliki layanan keamanan sendiri, yang siap dan ingin merespons. Kurangnya diskusi tentang hadiah juga membantu.Tetapi permusuhan antara Atrient dan para peneliti tampaknya telah muncul bukan hanya karena uang. Momen pengungkapan ini juga memainkan peran, ketika kesepakatan $ 40 juta hampir selesai. Mengingat situasi bisnis, periode waktu yang relatif singkat (dengan standar pengungkapan), dan cara percakapan berlangsung, tidak mengherankan bahwa emosi Atrient memanas. Kembang api hampir tidak bisa dihindari.Beardsley, seorang veteran dari pengungkapan, mengatakan: "Ketahuilah bahwa ini adalah situasi normal dan bahwa kita dapat berharap sedikit, tetapi jika seseorang tidak memiliki pengalaman, emosi dapat melompat dan dia dapat melihat segala sesuatu yang terlalu pribadi. Adalah tanggung jawab kami tidak hanya untuk melatih perusahaan Amerika dalam menangani pengungkapan, tetapi juga untuk melatih orang-orang yang menemukan kesalahan ini - terutama hari ini, di era ketika pengungkapan bug secara publik telah menjadi norma, jadi Anda tidak boleh berharap bahwa seseorang harus akan berterima kasih untuk ini. "