Una denuncia penale presentata giovedì al tribunale federale ha trasmesso accuse contro l’ex Chief Security Officer (CSO) di Uber, Joseph Sullivan. riportato dal Dipartimento di Giustizia degli Stati Uniti (DOJ) , Sullivan ha tentato di nascondere alla Federal Trade Commission (FTC) una violazione dei dati di Uber, avvenuta quattro anni fa. agli hacker una somma a sei cifre in Bitcoin
Come Sullivan ha tentato di nascondere la violazione dei dati di Uber nel 2016
Il 52enne Sullivan ha prestato servizio presso Uber, la popolare compagnia di trasporti statunitense, tra aprile 2015 e novembre 2017. Mentre era ancora in carica, precisamente, il 14 novembre 2016, due hacker lo contattarono, affermando di aver violato e di avere accesso alla rete dati dell'azienda. È interessante notare che Uber ha affrontato un attacco simile nel 2014 e Sullivan ha segnalato la violazione dei dati di Uber alla FTC.
Avanzando rapidamente fino al 2016, mentre stavano ancora raccogliendo informazioni sull'hacking del 2014, gli hacker lo hanno contattato in occasione del recente hack. Sullivan avrebbe scelto di nascondere alla FTC la violazione dei dati di Uber nel 2016, anche dopo aver confermato che i dati dell'azienda erano realmente compromessi. I dati in questione contenevano informazioni di dent personale di circa 57 milioni di autisti Uber, compresi gli utenti della rete.
Gli hacker hanno chiesto una cifra a sei cifre per comprare il loro silenzio, cosa che Sullivan ha accettato di fare. Tuttavia, come affermato nella denuncia penale, ha pianificato il pagamento in modo deliberato per nascondere alla FTC il recente attacco informatico.
Sullivan ha adottato approcci deliberati per nascondere la violazione dei dati di Uber
Inizialmente, Sullivan si era adoperato per ripagare gli hacker attraverso un programma di bug bounty. Secondo la denuncia, avrebbe pagato 100.000 dollari in Bitcoin all'hacker, anche se all'epoca non conosceva i loro veri nomi. Voleva anche che firmassero un accordo di non divulgazione, in cui si dimostrerebbe falsamente che gli hacker non hanno ottenuto alcun dato. Il nuovo management di Uber è venuto a conoscenza dell'hacking nel 2016 e lo ha riferito debitamente alla FTC e al pubblico.
Mentre Sullivan attende la sua prima udienza alla corte federale, il rapporto del Dipartimento di Giustizia riassume:
“Sullivan è accusato di ostruzione alla giustizia, in violazione della 18 USC. § 1505; e errata interpretazione di un crimine, in violazione di 18 USC. § 4.”
