Polityka i prawo
Dyrektor ds. bezpieczeństwa Ubera odpowie za ukrycie wycieku danych i utrudnianie śledztwa
Dyrektor ds. bezpieczeństwa Ubera miał zatuszować incydent, w ramach którego hakerzy wykradli dane na temat kilkudziesięciu milionów klientów oraz pracowników firmy. Zdaniem FBI mężczyzna manipulował dokumentami, aby w ten sposób ukryć kluczowe fakty podczas dochodzenia oraz potajemnie prowadził konwersację z hakerami w celu „dogadania się”.
Do sądu federalnego w Stanach Zjednoczonych złożono skargę w sprawie Joe Sullivana, który miał utrudniać działanie wymiaru sprawiedliwości poprzez „zatuszowanie” incydentu w Uber Technologies Incorporated, jaki miał miejsce 2016 roku – czytamy na oficjalnej stronie Departamentu Sprawiedliwości USA. Sprawę przedstawił prokurator David L. Anderson oraz członek FBI Craig D. Fair.
Zgodnie z treścią oskarżenia od kwietnia 2015 roku do listopada 2017 52-letni Joe Sullivan pełnił funkcję dyrektora ds. bezpieczeństwa firmy Uber. „W tym okresie dwóch hakerów skontaktowało się z mężczyzną za pomocą poczty elektronicznej i zażądało pieniędzy w zamian za milczenie” – podkreślono w komunikacie. – „Ostatecznie hakerzy ujawnili, że uzyskali dostęp do bazy danych Ubera zawierającej informacje, umożliwiające identyfikację około 57 milionów użytkowników i kierowców firmy, a następnie skutecznie ją pobrali”.
W akcie oskarżenia zarzuca się Joe Sullivanowi, że ten celowo podjął kroki, aby ukryć incydent, odwrócić uwagę i wprowadzić w błąd amerykańską Federal Trade Commission (FTC) w związku z naruszeniem danych.
„Dolina Krzemowa to nie Dziki Zachód” – stanowczo zaznaczył prokurator David L. Anderson. – „Oczekujemy szybkiego zgłaszania przestępstw. Oczekujemy współpracy przy naszych dochodzeniach. Nie będziemy tolerować ukrywania informacji”.
Z kolei Craig D. Fair podkreślił, że przedstawiciel Ubera dopuścił się poważnego przestępstwa. „Ukrywanie informacji o incydencie przed organami ścigania jest przestępstwem” – wyjaśnił członek FBI. – „Chociaż ta sprawa jest skrajnym przykładem długotrwałego utrudniania pracy organom ścigania, mamy nadzieję, że inne firmy zwrócą uwagę na tę sprawę i wyciągną wnioski. Nie pomagaj hakerom zatrzeć śladów. Nie pogarszaj problemu (…) i nie ukrywaj prób kradzieży danych osobowych”.
W oskarżeniu wskazano, że Uber padł ofiarą hakerów we wrześniu 2014 roku i od tego momentu FTC zbierała informacje na temat incydentu. Amerykański organ zażądał od firmy wyznaczenia osoby, która pod przysięgą będzie składała zeznania. Ostatecznie został nią Joe Sullivan, który odpowiadał za bliską współpracę z Komisją.
14 listopada 2016 roku, około 10 dni po złożeniu zeznań przed FTC, mężczyzna otrzymał wiadomość e-mail od hakera, informującą go, że Uber ponownie został dotknięty cyberatakiem. Wówczas zamiast zgłosić naruszenie bezpieczeństwa, przedstawiciel firmy „podjął celowe kroki, aby zapobiec przedostaniu się informacji o incydencie do FTC” – czytamy w komunikacie Departamentu Sprawiedliwości USA. Przykładowo, Joe Sullivan starał się opłacić żądany przez hakerów okup za pośrednictwem programu „bug bounty”. W ten sposób Uber zapłacił hakerom 100 000 dolarów w bitcoinach w grudniu 2016 roku.
Co więcej, mężczyzna chciał, aby hakerzy podpisali umowy o zachowaniu poufności. Dokumenty te zawierały fałszywe oświadczenie, że cyberprzestępcy nie pobierają ani nie przechowują żadnych danych. Ponadto, w momencie gdy personel Ubera był w stanie zidentyfikować dwie osoby odpowiedzialne za włamanie, Sullivan poprosił hakerów o podpisanie nowych kopii umów o zachowaniu poufności na ich prawdziwe nazwiska. Wkrótce po tym cała sprawa wyszła na jaw dzięki działaniom podjętym przez nowy zarząd koncernu.
W skardze złożonej do sądu federalnego zarzuca się również, że Joe Sullivan oszukał nowe władze firmy w sprawie incydentu z 2016 roku. W szczególności mężczyzna nie przekazał kluczowych szczegółów dotyczących wycieku danych. Przedstawiciel Ubera miał zmienić treść specjalnego raportu na temat kampanii hakerskiej, usuwając istotne informacje na temat między innymi danych, jakie hakerzy wykradli.
„Podsumowując, Joe Sullivan jest oskarżony o utrudnianie pracy wymiaru sprawiedliwości (…) oraz błędne informowanie na temat przestępstwa” – czytamy na oficjalnej stronie Departamentu Sprawiedliwości USA. Mężczyźnie grozi do pięciu lat pozbawienia wolności w związku utrudnianiem postępowania i maksymalnie trzy lata więzienia za przekazywanie niewłaściwych informacji organom państwa.
Czytaj też: Uber ujawnił kradzież danych 57 mln użytkowników