L’ex chief security officer di Uber Joe Sullivan è stato ritenuto colpevole di aver insabbiato un attacco informatico del 2016 in cui sembra siano state scaricate le informazioni personali di oltre 57 milioni di persone. Le informazioni rubate a Uber includevano nomi, indirizzi e-mail e numeri di telefono di oltre 50 milioni di utenti Uber e 7 milioni di conducenti, nonché numeri di patente di guida di altri 600.000 conducenti.
Come riportato dal New York Times e dal Washington Post, la giuria ha condannato Sullivan per due capi d’accusa: uno per ostacolo alla giustizia non rivelando la violazione all’FTC e un altro per cattiva detenzione, dato che ha nascosto un crimine alle autorità. Si ritiene che questa sia la prima volta che un dirigente di un’azienda è stato perseguito penalmente per un hack.
Aveva affrontato già tre capi di imputazione per frode telematica, ma i pubblici ministeri hanno respinto tali accuse ad agosto. Sullivan aveva servito come dirigente della sicurezza in altre società, tra cui Facebook e Cloudflare, e, come sottolinea il Post, in questo caso, è stato contrapposto allo stesso ufficio del procuratore degli Stati Uniti di San Francisco dove aveva precedentemente lavorato.
Cosa succederà ora
L’hack stesso è stato descritto dall’accusa nella loro denuncia originale, osservando che rispecchiava una violazione dati avvenuta nel 2014 secondo cui, al momento dell’incidente, la FTC stava già indagando. Quando il processo è iniziato a settembre, i sistemi di Uber sono stati violati di nuovo in un hack collegato a un presunto ex membro del gruppo ransomware Lapsus$, costringendolo a mettere temporaneamente offline alcuni sistemi interni.
La violazione del 2016 si è verificata quando due estranei che navigavano su Github hanno trovato le credenziali che consentivano loro di accedere allo storage Amazon Web Services (AWS) di Uber, che hanno utilizzato per scaricare i backup del database. Gli hacker hanno quindi contattato Uber e negoziato un pagamento in cambio della promessa di eliminare le informazioni rubate, pagato in Bitcoin per un valore di 100.000 dollari e trattato come parte del programma Bug Bounty dell’azienda. Alla fine si sono dichiarati colpevoli di aver violato l’azienda nel 2019.
Come osserva il Times, si ritiene che questa sia la prima volta che un dirigente di un’azienda viene perseguito penalmente per un hack. I pubblici ministeri hanno mostrato prove che Sullivan ha condiviso i dettagli dell’hacking e del pagamento con l’allora CEO di Uber Travis Kalanick, nonché con il capo avvocato per la privacy della società. Hanno anche affermato di non averlo rivelato al consiglio generale di Uber e hanno affermato che in seguito non ha esposto la vera portata dell’incidente al suo nuovo CEO, Dara Khosrowshahi.
