.jpeg)
Aunque Joe Sullivan informó al entonces director ejecutivo Travis Kalanick sobre la intrusión y el eventual acuerdo, los fiscales afirmaron que ocultó detalles para preservar la reputación de Uber y la suya propia. El hack involucró la información personal de más de 57 millones de clientes.
Joe Sullivan, exjefe de seguridad de Uber, fue declarado culpable de ocultar un ataque cibernético de 2016 en el que un pirata informático robó los datos de más de 57 millones de clientes. Se comprometió la información personal de más de 50 millones de pasajeros y 7 millones de conductores, junto con los números de licencia de conducir de 600,000.
El jurado encontró a Sullivan culpable de dos cargos, según informaron el New York Times y el Washington Post: un cargo de obstrucción de la justicia por no notificar la infracción a la FTC, y otro cargo de encarcelamiento indebido por tratar de mantener en secreto un acto delictivo. de la aplicación de la ley.
En agosto, los fiscales retiraron tres acusaciones de fraude electrónico en su contra. The Post señala que Sullivan se enfrentó a la misma oficina del fiscal federal de San Francisco donde había trabajado anteriormente procesando delitos cibernéticos después de servir como oficial de seguridad en otras empresas, incluidas Facebook y Cloudflare.
La intrusión se describió en la denuncia original (PDF) presentada por la fiscalía, que también señaló que era muy similar a una violación de Uber en 2014 que la FTC también estaba investigando en ese momento. El primer día del juicio en septiembre, Uber reveló que sus sistemas habían sido pirateados nuevamente, esta vez por un supuesto ex miembro de la organización de ransomware Lapsus$. La empresa se vio obligada a cerrar temporalmente algunos sistemas internos durante la investigación.
En 2016, dos piratas informáticos encontraron credenciales para el almacenamiento de Amazon Web Services (AWS) de Uber en Github y las explotaron para recuperar las copias de seguridad de la base de datos de la empresa. Posteriormente, los piratas informáticos se pusieron en contacto con Uber y exigieron $ 100,000 en Bitcoin como parte del programa Bug Bounty de la compañía a cambio de la promesa de destruir los datos robados. Más tarde, en 2019, admitieron su culpabilidad por piratear el negocio.
Según The New York Times, esta es la primera vez que un funcionario corporativo de alto rango es procesado por un hackeo. La condena de Sullivan puede alterar la respuesta de las empresas que anteriormente pagaron rescates a los piratas informáticos en secreto. Los fiscales presentaron pruebas de que Sullivan le contó tanto al entonces director ejecutivo de Uber, Travis Kalanick, como al principal asesor de privacidad de la empresa sobre el hackeo y el pago posterior. También dijeron que no le dijo al abogado general de Uber y luego no le dijo al nuevo director ejecutivo de Uber, Dara Khosrowshahi, el alcance total de lo que sucedió.
Los fiscales, según el informe de Bloomberg, afirmaron que Sullivan no reveló el ataque para salvaguardar su reputación profesional; después de todo, Uber lo contrató en 2015 con la intención de reforzar las medidas de seguridad de la empresa. También se afirmó que la sentencia de Sullivan podría ser de hasta ocho años, pero que "probablemente" sea mucho más corta.