El exjefe de seguridad de Uber, Joe Sullivan, fue declarado culpable de cargos de que encubrió un ciberataque de 2016 donde un hacker descargó la información personal de más de 57 millones de personas. La información robada de Uber incluía nombres, direcciones de correo electrónico y números de teléfono de más de 50 millones de usuarios de Uber y 7 millones de conductores, así como números de licencia de conducir de otros 600.000 conductores.
Según lo informado por el New York Times y El Correo de Washingtonel jurado condenó a Sullivan por dos cargos: uno por obstruir la justicia al no revelar la violación a la FTC y otro por encubrimiento indebido, que es ocultar un delito grave a las autoridades.
Se cree que esta es la primera vez que un ejecutivo de una empresa se enfrenta a un proceso penal por un hackeo.
Había enfrentado tres cargos de fraude electrónico, pero los fiscales desestimó esos cargos en agosto. Sullivan se había desempeñado como ejecutivo de seguridad en otras empresas, incluidas Facebook y Cloudflare, y, como director Correo señala, en este caso, se enfrentó a la misma oficina del fiscal federal de San Francisco donde había trabajado anteriormente procesando delitos cibernéticos.
El hack en sí fue descrito por la fiscalía. en su denuncia original (PDF)observando que reflejaba casi exactamente un 2014 incumplimiento de Uber que, en el momento del incidente, la FTC ya estaba investigando a la empresa. Como el juicio comenzó en septiembre, Los sistemas de Uber fueron violados nuevamente en un hackeo vinculado a un presunto ex miembro del grupo de ransomware Lapsus$obligándolo a desconectar temporalmente algunos sistemas internos.
La brecha de seguridad de 2016 ocurrió cuando dos extraños que buscaban en Github encontraron credenciales que les daban acceso al almacenamiento de Amazon Web Services (AWS) de Uber, que usaron para descargar las copias de seguridad de su base de datos. Luego, los piratas informáticos se pusieron en contacto con Uber y negociaron el pago de un rescate a cambio de la promesa de eliminar la información robada, pagaron $ 100,000 en Bitcoin y se trataron como parte del programa Bug Bounty de la compañía. Eventualmente se declararon culpables de piratear la empresa en 2019.
El nuevo CEO de Uber testificó que «no podía confiar» en su director de seguridad.
como el Veces notas, se cree que esta es la primera vez que un ejecutivo de la empresa se enfrenta a un proceso penal por un hackeo. La condena de Sullivan podría cambiar la forma en que las empresas que pagan rescates en silencio a los piratas informáticos responden a incidentes similares. Los fiscales mostraron evidencia de que Sullivan compartió detalles del hackeo y el pago con el entonces director ejecutivo de Uber, Travis Kalanick, así como con el principal abogado de privacidad de la empresa. También afirmaron que no se lo reveló al abogado general de Uber y dijeron que más tarde no expuso el verdadero alcance del incidente a su nuevo director ejecutivo, Dara Khosrowshahi.
Bloomberg informa que los fiscales argumentaron que Sullivan no reveló el ataque para proteger su reputación, ya que se suponía que había mejorado la seguridad de Uber después de unirse a la empresa en 2015. También informó que Sullivan enfrenta hasta ocho años de prisión, pero es «probable» que tener una oración mucho más corta.
Bajo Khosrowshahi, Uber finalmente despidió a Sullivan, admitió públicamente el incumplimientopagó $ 148 millones en litigios civiles por la violación a los 50 estados, y resolvió su caso con los fiscales en julio pasado, prometiendo “cooperación total” en el caso penal contra Sullivan. El 16 de septiembre, Khosrowshahi testificó en su contra, diciendo: “Él era mi jefe de seguridad y ya no podía confiar en su juicio”. En 2018, después de que se revelara la infracción, Uber llegó a un acuerdo con la FTC prometiendo mantener un programa de privacidad durante 20 años y “reportar a la FTC cualquier incidente informado a otras agencias gubernamentales relacionado con la intrusión no autorizada en la información del consumidor de las personas”.
Los abogados de Sullivan argumentaron que sus acciones se tomaron para evitar una fuga de datos de los usuarios, que informó al director ejecutivo y a otras personas que no fueron acusadas por el incidente, y que su equipo finalmente identificó a los piratas informáticos y logró que firmaran acuerdos de confidencialidad bajo sus derechos reales. nombres prometiendo no filtrar la información. En declaraciones dadas a la Veces, el abogado de Sullivan, David Angeli, dijo: “Sr. El único enfoque de Sullivan, en este incidente y a lo largo de su distinguida carrera, ha sido garantizar la seguridad de los datos personales de las personas en Internet”.