Joseph Sullivan, quien se desempeñó como jefe de seguridad de Uber, fue condenado por cargos federales por ocultar una violación de datos de 2016 a las autoridades. De acuerdo a Los New York Times, un jurado en un tribunal federal de San Francisco encontró a Sullivan culpable de obstruir la investigación en curso de la FTC sobre Uber en ese momento por otra infracción que ocurrió en 2014. También fue declarado culpable de ocultar activamente un delito grave a las autoridades. El caso de Sullivan, que se cree que es la primera vez que un ejecutivo enfrenta cargos penales por un hackeo, gira en torno a cómo el exejecutivo lidió con los malos que se infiltraron en el servidor de Uber en Amazon y exigieron $100,000 a la empresa.
Los piratas informáticos se pusieron en contacto con Uber poco después de que Sullivan se presentara ante la FTC para su investigación del incidente de seguridad cibernética de 2014. Le dijeron que encontraron una vulnerabilidad de seguridad que les permitió descargar los datos personales de 600.000 conductores e información adicional vinculada a 57 millones de conductores y pasajeros. Como el poste de washington informes, más tarde se reveló que los piratas informáticos encontraron una clave digital que usaron para ingresar a la cuenta de Amazon de Uber. Allí, encontraron una colección de respaldo sin cifrar de datos personales de pasajeros y conductores.
Sullivan les señaló el programa de recompensas por errores de la empresa, que tenía un pago máximo de 10.000 dólares. Sin embargo, los piratas informáticos querían al menos 100.000 dólares y amenazaron con divulgar los datos que habían robado si Uber no pagaba. El exjefe de seguridad les pagó la cantidad que exigieron en bitcoins e hizo que pareciera que les habían pagado bajo el programa de recompensas por errores, una acción supuestamente sancionada por el entonces director ejecutivo de Uber, Travis Kalanick. También los rastreó y les hizo firmar acuerdos de confidencialidad.
El campo del ex ejecutivo argumentó que Sullivan sintió que los datos de los usuarios de Uber estaban protegidos después de que los piratas informáticos firmaron un NDA. «El señor Sullivan creía que los datos de sus clientes estaban seguros y que no se trataba de un incidente que deba informarse. No hubo encubrimiento ni obstrucción», dijo su abogado David Angeli. Pero los fiscales no estuvieron de acuerdo y vieron su uso de NDA como una forma de encubrir el incidente. Además, enfatizaron que el incidente no debería haber sido calificado para un pago bajo el programa de recompensas por errores, que está destinado a recompensar a los investigadores de seguridad amigables, cuando los malos actores amenazaron con divulgar la información personal de los usuarios si no les pagaban. cantidad que querían.
Al final, el jurado estuvo de acuerdo con los fiscales en que Sullivan debería haber notificado a la FTC sobre la violación de datos. No fue hasta que Dara Khosrowshahi asumió el cargo de CEO que la FTC fue informada del evento. Aún no se ha dictado una sentencia, pero Sullivan ahora enfrenta cinco años de prisión por obstrucción y hasta tres años más por no denunciar un delito grave.
Todos los productos recomendados por Engadget son seleccionados por nuestro equipo editorial, independiente de nuestra empresa matriz. Algunas de nuestras historias incluyen enlaces de afiliados. Si compra algo a través de uno de estos enlaces, podemos ganar una comisión de afiliado. Todos los precios son correctos en el momento de la publicación.