Czy Uber ukrywał wyciek danych? Były menedżer firmy może zostać skazany

Krótko po tym, jak Federalna Komisja Handlu zaczęła śledztwo ws. gigantycznego wycieku danych z firmy Uber, do którego doszło w 2016 roku, spółka padła ofiarą kolejnego incydentu cyberbezpieczeństwa. W jego ramach hakerzy uzyskali nieuprawniony dostęp do danych.

Ówczesny szef bezpieczeństwa w firmie Joe Sullivan po konsultacji z zespołem prawnym zdecydował się ukryć publicznie informacje na temat tego, co się wydarzyło, zapłacić sprawcom żądany przez nich okup w wysokości 100 tys. dolarów, a całość incydentu przedstawić jako „planowane ćwiczenia bezpieczeństwa". Środki finansowe przekazane hakerom miały natomiast być nagrodą w ramach programu poszukiwania błędów (bug bounty) Ubera.

Zarzuty za oszustwo

Sullivanowi grożą zarzuty – informują amerykańskie media, w tym dziennik „Wall Street Journal". To, że względem byłego menedżera Ubera za ukrycie faktu wycieku danych przed Federalną Komisją Handlu i opinią publiczną mogą zostać wyciągnięte konsekwencje prawne, rzuciło blady strach na innych dyrektorów ds. bezpieczeństwa w firmach technologicznych.

Wielu z nich, jak pisze serwis Ars Technica, jest przekonanych, że nie powinno mu nic grozić za nie ujawnienie incydentu i ich zdaniem Sullivan „nie zrobił nic złego". Wśród zwolenników takiej opinii jest m.in. były szef bezpieczeństwa w największym amerykańskim telekomie AT&T Edward Amoroso.

Amoroso uważa, że zarzuty dla Sullivana za taką a nie inną decyzję przełożą się na efekt mrożący wśród wszystkich specjalistów odpowiedzialnych za cyberbezpieczeństwo. Jego zdaniem debata na temat słuszności decyzji byłego menedżera Ubera powinna pozostać w gronie ekspertów z branży, nie zaś być poddana pod orzeczenie sądu, podobnie jak kwestia odpowiedzialności za incydent.

Ministerstwo sprawiedliwości: nie ma zgody na ukrywanie incydentów

Resort uważa, że Amoroso i inni wspierający Sullivana nie mają w tym wypadku racji. Zdaniem ministerstwa sprawiedliwości USA, w sprawie byłego menedżera Ubera wcale nie chodzi o to, że ten zapłacił hakerom okup, ale o to, iż próbował ukryć incydent i nie dopuścił informacji na ten temat do organów federalnych odpowiedzialnych za tego rodzaju sprawy.

Hakerzy odpowiedzialni za incydent, który ukrył Sullivan, to Brandon Charles Glover i Vasile Mereacre. Obaj mężczyźni przyznali się do winy w ramach zarzutów dotyczących naruszenia bezpieczeństwa struktur IT oraz wymuszenia środków finansowych.

Sprawcy wykradli 57 mln rekordów z baz danych Ubera, a za usunięcie ich zażądali wysokiego okupu. Uber zapłacił 100 tys. dolarów, a Sullivan zdecydował się ukryć publicznie fakt, że było to włamanie do systemów firmy i przedstawił wypłatę jako nagrodę w ramach programu bug bounty dla ekspertów, którzy zgłosili błąd systemowy Ubera.

Nie wyglądało to nadzwyczajnie, bo firma chętnie wypłaca środki w ramach bug bounties. W ramach ugody z hakerami, zostali oni poproszeni przez firmę o oficjalne dołączenie do programu i zarejestrowanie się w nim, co tylko dodaje sytuacji osobliwego komizmu.

Dostarcza to również dodatkowego argumentu organom sprawiedliwości, które traktują fakt zapisania się sprawców incydentu do programu bug bounty Ubera jako ostateczny dowód na to, że spółka chciała całkowicie zamaskować naruszenie bezpieczeństwa danych.

Kto został zwolniony a kto nie wywiązał się z umowy

Uber na całej sytuacji jednak sporo stracił – Sullivan w 2017 roku został z tej firmy zwolniony, a hakerzy – nie wywiązując się z podpisanej w ramach ugody ze spółką umowy – przekazali wykradzione z Ubera dane trzeciej osobie i tym samym nie spełnili obietnicy ich zniszczenia po odebraniu 100 tys. dolarów okupu.

Sullivan, jeśli zostanie skazany w związku z ciążącymi na nim zarzutami, może odbyć karę pozbawienia wolności do lat pięciu i zapłacić kwotę grzywny o maksymalnej wysokości do 250 tys. dolarów. Za ukrywanie przestępstwa grożą mu kolejne trzy lata więzienia i kolejna kara finansowa, mogąca wynieść nawet do 250 tys. dolarów.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].