El miércoles, un jurado encontró al ex jefe de seguridad de Uber, Joe Sullivan, culpable de ocultar una violación masiva de datos a los reguladores federales que ya estaban investigando a la compañía de viajes compartidos por una violación diferente. Con ese veredicto, Sullivan probablemente se haya convertido en el primer ejecutivo en ser procesado penalmente por un hackeo, informó The New York Times.
Un jurado de seis hombres y seis mujeres comenzó a deliberar el viernes pasado. Después de 19 horas, decidieron que Sullivan era culpable de un cargo de obstruir la investigación de la Comisión Federal de Comercio y “un cargo de encarcelamiento o actuar para ocultar un delito grave a las autoridades”, según el Times.
El equipo legal de Sullivan no proporcionó comentarios de inmediato sobre Ars, pero uno de sus abogados, David Angeli, le dijo al NYT cómo Sullivan recibió el veredicto. “Aunque obviamente no estamos de acuerdo con el veredicto del jurado, apreciamos su dedicación y esfuerzo en este caso”, dijo Angeli al periódico. «Señor. El único enfoque de Sullivan, en este incidente y a lo largo de su distinguida carrera, ha sido garantizar la seguridad de los datos personales de las personas en Internet”.
Cuando Sullivan se enteró por primera vez de la segunda violación de datos, ocultó la actividad ilegal pagando a los piratas informáticos a través del programa de recompensas por errores de Uber. Uber acababa de anunciar el programa en marzo de 2016 en coordinación con HackerOne, una empresa de seguridad ampliamente utilizada cuyos valores empresariales instan a ejecutivos como Sullivan a «no divulgar información» y preguntarse «¿por qué mantener esto en privado?». en lugar de «¿por qué hacer esto público?» Le tomó menos de un año a Sullivan usar el programa de recompensas por errores de HackerOne como una forma de evitar revelar un hackeo.
HackerOne no respondió de inmediato a la solicitud de comentarios de Ars. [Update: A HackerOne spokesperson told Ars, «HackerOne has made the executive decision not to comment.»]
El informe del Times sugirió que la condena de Sullivan podría cambiar la forma en que todas las empresas gestionan las filtraciones de datos en el futuro.
Uber no proporcionó comentarios a NYT o Ars. Previamente, un vocero de Uber dirigió a Ars a una publicación de blog en la que el CEO de Uber, Dara Khosrowshahi, habló sobre cómo la compañía había actualizado las prácticas de seguridad desde que se expuso el encubrimiento de Sullivan. Esos esfuerzos incluyeron consultar con un experto externo en seguridad cibernética sobre cómo reestructurar el equipo de seguridad de Uber y cómo implementar procesos para evitar que los líderes vuelvan a cometer el mismo error.
“Nada de esto debería haber sucedido, y no pondré excusas por ello”, escribió Khosrowshahi en 2017. “Si bien no puedo borrar el pasado, puedo comprometerme en nombre de cada empleado de Uber de que aprenderemos de nuestros errores. Estamos cambiando la forma en que hacemos negocios, poniendo la integridad en el centro de cada decisión que tomamos y trabajando arduamente para ganarnos la confianza de nuestros clientes”.
The Times incluyó una declaración en su informe de Stephanie M. Hinds, la fiscal federal del Distrito Norte de California, donde se escuchó el caso de Sullivan, sugiriendo que Sullivan debería servir como ejemplo de cómo no manejar un hackeo.
“No toleraremos el ocultamiento de información importante del público por parte de ejecutivos corporativos más interesados en proteger su reputación y la de sus empleadores que en proteger a los usuarios”, dijo Hinds. “Cuando tal conducta viole la ley federal, será procesada”.