Una denuncia penale depositata giovedì presso la corte federale ha presentato accuse contro l'ex Chief Security Officer (CSO) di Uber, Joseph Sullivan. Come riportato , Sullivan ha tentato di nascondere alla Federal Trade Commission (FTC) una violazione dei dati di Uber, avvenuta quattro anni fa. Avrebbe pagato una cifra a sei cifre in Bitcoin agli hacker.
Come Sullivan ha tentato di insabbiare la violazione dei dati di Uber nel 2016
Sullivan, 52 anni, ha lavorato presso Uber, la popolare azienda di trasporti statunitense, tra aprile 2015 e novembre 2017. Mentre era ancora in carica, precisamente il 14 novembre 2016, due hacker lo contattarono, affermando di aver violato i dati dell'azienda e di averne avuto accesso. È interessante notare che Uber aveva subito un attacco simile nel 2014 e Sullivan aveva segnalato la violazione dei dati di Uber alla FTC.
Facciamo un salto al 2016: mentre stava ancora riassumendo l'attacco informatico del 2014, gli hacker lo contattarono per quello recente. Sullivan avrebbe scelto di nascondere alla FTC la violazione dei dati di Uber del 2016, anche dopo aver confermato che i dati dell'azienda erano stati effettivamente compromessi. I dati in questione contenevano informazioni personalidentdi circa 57 milioni di autisti Uber, inclusi gli utenti della rete.
Gli hacker chiesero una cifra a sei cifre per comprare il loro silenzio, e Sullivan accettò. Tuttavia, pianificò il pagamento in modo deliberato per nascondere il recente attacco alla FTC, come affermato nella denuncia penale.
Sullivan ha adottato misure deliberate per nascondere la violazione dei dati di Uber
Inizialmente, Sullivan si è inventato un complotto per pagare gli hacker attraverso un programma di bug bounty. Secondo la denuncia, ha pagato 100.000 dollari in Bitcoin all'hacker, sebbene all'epoca non ne conoscesse i veri nomi. Voleva anche che firmassero un accordo di non divulgazione, che dichiarasse falsamente che gli hacker non avevano ottenuto alcun dato. Il nuovo management di Uber venne a conoscenza dell'attacco nel 2016 e lo riferì puntualmente alla FTC e al pubblico.
Mentre Sullivan attende la sua prima udienza presso la corte federale, il rapporto del Dipartimento di Giustizia riassume:
"Sullivan è accusato di ostruzione alla giustizia, in violazione del 18 USC. § 1505; e di errata interpretazione di un crimine, in violazione del 18 USC. § 4."
