0
0
Condenação poderá resultar em até oito anos de prisão mas a sentença ainda não foi proferida pelo juiz do processo
Em um veredito com implicações de longo alcance para os CISOs dos EUA, um júri federal de São Francisco condenou hoje o ex-chefe de segurança da Uber, Joe Sullivan, por ocultar em 2016 uma violação de dados e obstruir uma investigação da Comissão Federal de Comércio sobre Práticas de segurança da Uber. Sullivan estava no cargo há poucos meses quando dois hackers invadiram o servidor de armazenamento de dados do Uber na Amazon em outubro de 2016 e roubaram as informações pessoais de 57 milhões de usuários do aplicativo, incluindo nomes, números de telefone, endereços de e-mail e 600.000 números de carteira de motorista.
Os promotores dizem que a violação parecia terrível para Sullivan, que foi contratado para ajudar a empresa a reforçar sua segurança cibernética após uma violação semelhante em 2014, na qual um hacker acessou dados de clientes não criptografados armazenados no armazenamento de dados da Amazon da Uber usando uma chave que os engenheiros da Uber deixaram exposta no GitHub.
Depois que um dos hackers entrou em contato com o endereço de e-mail pessoal de Sullivan e exigiu um pagamento de seis dígitos, Sullivan e sua equipe de segurança decidiram tratar o incidente como se fosse uma recompensa de bug bounty e canalizaram um resgate de US$ 100.000 em bitcoins através do portal de bug bounty HackerOne. Vasile Mereacre, de Toronto, e Brandon Glover, da Flórida, se declararam culpados pelo hack em outubro de 2019.
Apenas 10 dias antes de os hackers entrarem em contato com ele, Sullivan deu um longo depoimento à Comissão Federal de Comércio sobre o progresso do Uber no reforço da segurança após a violação de 2014 como parte da investigação em andamento do regulador. Os promotores observam que, depois de saber sobre a violação, Sullivan observou que “pode jogar muito mal com base em afirmações anteriores” para a FTC e que ele “acabou de ser deposto sobre este tópico”.
O Uber demitiu Sullivan em 2017 e, em 2020, os promotores federais o acusaram de uma acusação de obstrução e uma acusação de detenção de um crime. Seu julgamento foi considerado o primeiro processo criminal de um executivo de uma empresa de tecnologia por uma violação de dados.
Os advogados de defesa de Sullivan dizem que ele não fez nenhum esforço para esconder a violação e que o departamento jurídico da Uber foi responsável por aconselhar sua equipe de segurança sobre se o incidente era reportável.
FONTE: CISO ADVISOR