0
0
Joe Sullivan, ex-diretor de segurança (CSO) da Uber, foi condenado por obstrução dos procedimentos da Comissão Federal de Comércio e detenção por crime relacionado à tentativa de encobrimento do hack que a Uber sofreu em 2016 .
A convicção
Sullivan foi nomeado Diretor de Segurança da Uber em abril de 2015.
“Naquela época, o Uber havia divulgado recentemente à FTC que havia sido vítima de uma violação de dados em 2014 ”, observou o Departamento de Justiça.
“Na sequência dessa divulgação, a Divisão de Privacidade e Proteção de Identidade da FTC embarcou em uma investigação do programa e das práticas de segurança de dados da Uber. Em maio de 2015, um mês após a contratação de Sullivan, a FTC atendeu a uma detalhada Demanda de Investigação Civil da Uber, que exigia informações extensas sobre quaisquer outras instâncias de acesso não autorizado a informações pessoais do usuário e informações sobre o programa e práticas mais amplas de segurança de dados da Uber. ”
Em 4 de novembro de 2016, Sullivan testemunhou perante a FTC sob juramento e delineou as medidas que a Uber havia tomado para manter os dados dos clientes seguros.
“Exatamente dez dias após seu depoimento na FTC, Sullivan soube que o Uber havia sido hackeado novamente. Os hackers entraram em contato diretamente com Sullivan, por e-mail, em 14 de novembro de 2016. Os hackers informaram Sullivan e outros na Uber que haviam roubado uma quantidade significativa de dados de usuários da Uber e exigiram um grande pagamento de resgate da Uber em troca de seus exclusão desses dados”, acrescentou o DoJ .
“As evidências demonstraram que, logo após saber da extensão da violação de 2016 e em vez de denunciá-la à FTC, a quaisquer outras autoridades ou aos usuários do Uber, Sullivan executou um esquema para impedir que qualquer conhecimento da violação chegasse à FTC. Por exemplo, Sullivan disse a um subordinado que eles ‘não podem deixar isso vazar’, instruiu-os de que a informação precisava ser ‘fortemente controlada’ e que a história fora do grupo de segurança era que ‘esta investigação não existir.’ Sullivan então providenciou para pagar os hackers em troca de eles assinarem acordos de confidencialidade nos quais os hackers prometiam não revelar o hack a ninguém, e também continham a falsa representação de que os hackers não pegaram ou armazenaram nenhum dado em seu hack. ”
De acordo com o DoJ, “as evidências mostraram que, apesar de saber em detalhes que a Uber havia sofrido outra violação de dados diretamente em resposta à investigação da FTC, Sullivan continuou a trabalhar com os advogados da Uber que lidam ou supervisionam essa investigação, incluindo o Conselho Geral da Uber. , e nunca mencionou o incidente para eles.”
Depois que Dara Khosrowshahi se tornou CEO da Uber em agosto de 2017, Sullivan “mentiu, dizendo falsamente ao CEO que os hackers só haviam sido pagos depois de serem identificados e excluindo de um rascunho elaborado por um de seus relatórios que o hack envolveu informações de identificação pessoal e uma quantidade muito grande de dados do usuário. Sullivan mentiu novamente para os advogados externos da Uber que conduziam uma investigação sobre o incidente. No entanto, a verdade sobre a violação foi finalmente descoberta pela nova administração da Uber, que divulgou a violação publicamente, e à FTC, em novembro de 2017.”
Os dois hackers – Brandon Charles Glover e Vasile Mereacrein – foram processados e se declararam culpados em 2019, mas ainda não foram sentenciados. Este último testemunhou recentemente no julgamento de Sullivan.
Possíveis reverberações
Sullivan foi considerado culpado por um júri federal e pode pegar até oito anos de prisão pelas duas acusações.
Sullivan sustentou durante todo o julgamento que omitiu a divulgação da violação à FTC porque a decisão sobre quando a violação deveria ser divulgada foi tomada pelo departamento jurídico da Uber. Mas, até agora, apenas Sullivan foi acusado em conexão com este incidente e seu encobrimento.
O julgamento foi acompanhado de perto por pessoas da comunidade de segurança cibernética, e especialmente por aqueles que ocupam as funções de CSO e CISO (Chief Information Security Officer).
Essa convicção pode ser tomada como um precedente e, esperançosamente, impedir que os C-suites façam as mesmas escolhas. Também pode dificultar a contratação de OSCs e CISOs pelas empresas.
FONTE: HELPNET SECURITY