Fostul director executiv al companiei Uber este pasibil de opt ani în spatele gratiilor pentru că a ascuns un atac în 2016

Fostul director executiv al companiei Uber, care ar fi plătit o grupare de atacatori pentru a nu dezvălui o breșă uriașă de securitate, a fost acuzat de obstrucționarea justiției și ascunderea unei infracțiuni. Bărbatul în vârstă de 52 de ani este pasibil de opt ani de închisoare pentru infracțiunile săvârșite.
Săptămâna aceasta, Departamentul de Justiție al SUA a anunțat că Joseph Sullivan, angajat al companiei Palo Alto, California, ar fi efectuat „acțiuni deliberate de ascundere, deviere și înșelăciune” conform declarațiilor Comisiei Federale pentru Comerț cu privire la notoriul atac asupra companiei Uber Technologies Incorporated, care a avut loc în 2016.
Este posibil ca unii cititori să își amintească faptul că, în urmă cu patru ani, doi hackeri au spart o bază de date a companiei, extrăgând informații cu caracter personal asociate cu aproximativ 57 de milioane de utilizatori și șoferi Uber. Ce doi l-ar fi contactat pe Sullivan prin e-mail, cerând o sumă de ordinul sutelor de mii în schimbul tăcerii. Potrivit plângerii, Sullivan a plătit hackerilor suma de 100.000 de dolari.
Directorul a încercat să ascundă plata printr-un program fals de bug-bounty în care a înscris hackerii, cu toate că nu știa care sunt numele celor doi. Conducerea Uber a descoperit încercarea lui Sullivan de a ascunde atacul și detaliile critice cu privire la datele afectate și a făcut alegerea dificilă de a semnala breșa de date autorităților.
Declarația Departamentului de Justiție descrie, cu lux de amănunte, încercările complicate ale lui Sullivan de a ascunde incidentul și de a păcăli conducerea Uber cu privire la cele întâmplate:
„În plus, Sullivan a încercat să convingă hackerii să semneze acorduri de nedivulgare. Acordurile conțineau precizarea falsă cum că hackerii nu extrăseseră și nu stocaseră date. După ce un angajat al companiei i-a pus întrebări lui Sullivan cu privire la această promisiune falsă, Sullivan a insistat ca precizarea să nu fie scoasă din acorduri. În plus, după ce personalul Uber a reușit să identifice două dintre persoanele responsabile pentru breșă, Sullivan a vrut ca hackerii să semneze noi copii ale acordurilor de nedivulgare, de data aceasta cu numele reale ale acestora. Noile acorduri conțineau la rândul lor precizarea falsă că nu fuseseră extrase date. Noua conducere a Uber a descoperit adevărul până la urmă și a făcut publică breșa de securitate, raportând-o și Comisiei Federale pentru Comerț, în noiembrie 2017.”
„Conform plângerii penale, Sullivan ar fi păcălit și noua conducere a companiei cu privire la breșa de securitate din 2016. Mai exact, Sullivan nu i-a oferit acesteia detalii critice despre breșă. În august 2017, Uber a numit în funcție un nou director executiv. În septembrie 2017, Sullivan a informat noul director executiv al companiei cu privire la incidentul din 2016 printr-un e-mail. Sullivan a solicitat echipei sale să pregătească o prezentare a incidentului, însă, după ce a primit documentul, l-a modificat. Modificările pe care le-a făcut au exclus detaliile despre datele extrase de hackeri și au specificat în mod eronat că plata fusese oferită abia după identificarea hackerilor.”
Cei doi hackeri au fost judecați anul trecut după ce și-au recunoscut vinovăția în cazul tuturor acuzațiilor ce le-au fost aduse. În prezent, își așteaptă sentința, conform Departamentului de Justiție.
Cât despre Sullivan, acesta a fost acuzat de obstrucționarea justiției și ascunderea unei infracțiuni, ceea ce înseamnă pedeapsa cu închisoarea timp de cinci, respectiv trei ani. Prima înfățișare a lui Sullivan în fața instanței federale nu a fost încă stabilită.
În 2018, autoritatea pentru protecția datelor (ICO) din Regatul Unit a amendat compania cu 385.000 de lire sterline pentru breșa de securitate, ceea ce a însemnat aproximativ 490.000 de dolari la acel moment. Dacă breșa ar fi avut loc după intrarea în vigoare a RGPD în mai 2018, suma ar fi putut fi de 200 de ori mai mare. Cam în aceeași perioadă, Țările de Jos au amendat la rândul lor compania Uber cu 600.000 de euro, prin propria autoritate pentru protecția datelor, Autoriteit Persoonsgegevens.