El exjefe de seguridad de Uber declarado culpable de encubrir una violación masiva de datos en 2016

El exjefe de seguridad de Uber, Joe Sullivan, fue declarado culpable de encubrir un ataque cibernético de 2016 en el que un pirata informático descargó la información personal de más de 57 millones de personas. La información robada de Uber incluía nombres, direcciones de correo electrónico y números de teléfono de más de 50 millones de usuarios de Uber y 7 millones de conductores, así como los números de licencia de conducir de otros 600.000 conductores. Según informaron el New York Times y el Washington Post, el jurado condenó a Sullivan por dos cargos: uno por obstruir la justicia al no revelar la violación a la FTC y otro por error de encubrimiento, que consiste en ocultar un delito grave a las autoridades. Se cree que esta es la primera vez que un ejecutivo de la compañía se enfrenta a un proceso penal por un hackeo. Se había enfrentado a tres cargos de fraude electrónico, pero los fiscales desestimaron esos cargos en agosto. Sullivan se había desempeñado como ejecutivo de seguridad en otras empresas, incluidas Facebook y Cloudflare, y, como señala el Post, en este caso, se enfrentó a la misma oficina del fiscal federal de San Francisco donde había trabajado anteriormente procesando delitos cibernéticos. El hack en sí fue descrito por la fiscalía en su denuncia original (PDF), señalando que reflejaba casi exactamente una violación de Uber de 2014 que, en el momento del incidente, la FTC ya estaba investigando a la empresa. Cuando comenzó el juicio en septiembre, los sistemas de Uber fueron violados nuevamente en un ataque vinculado a un presunto ex miembro del grupo de ransomware Lapsus$, lo que obligó a desconectar temporalmente algunos sistemas internos. les dio acceso al almacenamiento de Amazon Web Services (AWS) de Uber, que utilizaron para descargar sus copias de seguridad de la base de datos. Luego, los piratas informáticos se pusieron en contacto con Uber y negociaron el pago de un rescate a cambio de la promesa de eliminar la información robada, pagaron $ 100,000 en Bitcoin y se trataron como parte del programa Bug Bounty de la compañía. Eventualmente se declararon culpables de piratear la empresa en 2019. El nuevo director ejecutivo de Uber testificó que “no podía confiar” en su director de seguridad. Como señala el Times, se cree que esta es la primera vez que un ejecutivo de la empresa se enfrenta a un proceso penal por un ataque. La condena de Sullivan podría cambiar la forma en que las empresas que pagan rescates en silencio a los piratas informáticos responden a incidentes similares. Los fiscales mostraron evidencia de que Sullivan compartió detalles del hackeo y el pago con el entonces director ejecutivo de Uber, Travis Kalanick, así como con el principal abogado de privacidad de la empresa. También afirmaron que no se lo reveló al abogado general de Uber y dijeron que luego no expuso el verdadero alcance del incidente a su nuevo director ejecutivo, Dara Khosrowshahi. Bloomberg informa que los fiscales argumentaron que Sullivan no reveló el ataque para proteger a Uber. su reputación, ya que se suponía que había mejorado la seguridad de Uber después de unirse a la compañía en 2015. También informó que Sullivan enfrenta hasta ocho años de prisión, pero es “probable” que tenga una sentencia mucho más corta. Bajo Khosrowshahi, Uber finalmente despidió a Sullivan. , admitió públicamente la infracción, pagó $148 millones en litigio civil por la infracción a los 50 estados y resolvió su caso con los fiscales en julio pasado, prometiendo “cooperación total” en el caso penal contra Sullivan. El 16 de septiembre, Khosrowshahi testificó en su contra y dijo: “Era mi jefe de seguridad y ya no podía confiar en su juicio”. En 2018, después de que se revelara la infracción, Uber llegó a un acuerdo con la FTC prometiendo mantener un programa de privacidad durante 20 años y “reportar a la FTC cualquier incidente informado a otras agencias gubernamentales relacionado con la intrusión no autorizada en la información del consumidor de las personas”. Los abogados de Sullivan argumentaron que sus acciones se tomaron para evitar una fuga de datos de los usuarios, que informó al director ejecutivo y a otras personas que no fueron acusadas por el incidente, y que su equipo finalmente identificó a los piratas informáticos y logró que firmaran acuerdos de confidencialidad bajo sus derechos reales. nombres prometiendo no filtrar la información. En una declaración entregada al Times, el abogado de Sullivan, David Angeli, dijo: “Sr. El único enfoque de Sullivan, en este incidente y a lo largo de su distinguida carrera, ha sido garantizar la seguridad de los datos personales de las personas en Internet”.