Bodaj po raz pierwszy członek zarządu korporacji został uznany za winnego zarzutów związanych z ukrywaniem cyberwłamania. Joe Sullivan, były dyrektor ds. bezpieczeństwa w firmie Uber, autoryzował płatności dla sprawców naruszenia bezpieczeństwa danych klientów z 2016 roku, w którym skradziono dane osobowe 50 milionów klientów Ubera i 7 milionów kierowców.
Washington Post donosi, że ława przysięgłych uznała Sullivana – byłego prokuratora ds. cyberprzestępczości w biurze prokuratora federalnego w San Francisco – za winnego utrudniania pracy wymiaru sprawiedliwości poprzez nieujawnienie włamania z 26 października 2016 r. przed Federalną Komisją Handlu; firmy są zobowiązane do ujawniania naruszeń danych na mocy przepisów stanowych i federalnych. Został również uznany za winnego aktywnego ukrywania przestępstwa lub nieujawnienia przestępstwa.
Hakerzy wysłali anonimowo e-mail do Ubera w 2016 roku, informując, że uzyskali dostęp do Amazon Web Services (AWS) firmy i pobrali mnóstwo danych, które obejmowały nazwiska, adresy e-mail i numery telefonów, wraz z 600 000 numerów prawa jazdy w USA. Później okazało się, że osiągnęli to poprzez dostęp do prywatnej strony kodowania GitHub używanej przez inżynierów oprogramowania Ubera i wykorzystali uzyskane tam poświadczenia logowania.
Hakerzy zostali skierowani do programu bug bounty firmy Uber, ale jego maksymalna nagroda w wysokości 10 000 dolarów nie zadowoliła przestępców, którzy chcieli sześciocyfrowej sumy w zamian za usunięcie skradzionych informacji i zachowanie milczenia o incydencie. Będąc już pod dochodzeniem FTC w sprawie podobnego naruszenia z 2014 roku, Uber zgodził się na wypłatę 100 000 dolarów w Bitcoinie pod pozorem, że jest to wypłata za bug bounty. Dwaj hakerzy zostali później aresztowani i przyznali się do winy.
Włamanie wyszło na jaw dopiero w listopadzie 2017 roku, kiedy nowy CEO Ubera Dara Khosrowshahi ujawnił je i zwolnił Sullivana. Prokuratorzy twierdzą, że Sullivan utrzymywał naruszenie w ukryciu, aby chronić swoją reputację.
„Sullivan aktywnie pracował, aby ukryć naruszenie danych przed Federalną Komisją Handlu i podjął kroki, aby zapobiec złapaniu hakerów” – napisał Stephanie Hinds, prokurator stanowy dla San Francisco, w e-mailu do Bloomberga. „Nie będziemy tolerować ukrywania ważnych informacji przed opinią publiczną przez menagerów korporacji bardziej zainteresowanych ochroną swojej reputacji i reputacji swoich pracodawców niż ochroną użytkowników.”
Sullivanowi grozi do ośmiu lat więzienia, ale prawdopodobnie otrzyma znacznie krótszy wyrok.
Źródło: Pixabay
Uber potwierdził, że w zeszłym miesiącu doszło do kolejnego naruszenia danych, które mogło być równie duże lub większe niż incydent z 2016 roku. Atak został przeprowadzony przez tego samego nastoletniego hakera stojącego za wyciekiem GTA 6, który został niedawno aresztowany.