Los fiscales federales de Estados Unidos acusaron al exjefe de seguridad de Uber, jose sullivanpor encubrir una violación masiva de datos que sufrió la empresa de transporte compartido en 2016.
Según el comunicado de prensa publicado por el Departamento de Justicia de EE. UU., Sullivan «tomó medidas deliberadas para ocultar, desviar y engañar a la Comisión Federal de Comercio sobre la violación» que también implicó pagar a los piratas informáticos un rescate de $ 100,000 para mantener el incidente en secreto.
«Hoy se presentó una denuncia penal en un tribunal federal acusando a Joseph Sullivan de obstrucción de la justicia y error en la interpretación de un delito grave en relación con el intento de encubrimiento del hackeo de Uber Technologies en 2016», dice.
La violación de datos de Uber de 2016 expuso nombres, direcciones de correo electrónico, números de teléfono de 57 millones de pasajeros y conductores de Uber y números de licencia de conducir de alrededor de 600,000 conductores.
La empresa reveló esta información al público casi un año después, en 2017, inmediatamente después de que Sullivan dejara su trabajo en Uber en noviembre.
Más tarde se informó que dos piratas informáticos, Brandon Charles Glover de Florida y Vasile Mereacre de Toronto, estaban detrás del incidente a quienes Sullivan aprobó pagar dinero a cambio de promesas de eliminar los datos de los clientes que habían robado.
Todo esto comenzó cuando Sullivan, como representante de Uber, en 2016 estaba respondiendo a las consultas de la FTC sobre un incidente anterior de filtración de datos en 2014, y durante el mismo tiempo, Brandon y Vasile lo contactaron con respecto a la nueva filtración de datos.
«El 14 de noviembre de 2016, aproximadamente 10 días después de brindar su testimonio ante la FTC, Sullivan recibió un correo electrónico de un hacker que le informaba que Uber había sido violado nuevamente».
«El equipo de Sullivan pudo confirmar la violación dentro de las 24 horas posteriores a la recepción del correo electrónico. En lugar de informar la violación de 2016, Sullivan supuestamente tomó medidas deliberadas para evitar que el conocimiento de la violación llegara a la FTC».
Según los documentos judiciales, el monto del rescate se pagó a través de un programa de recompensas por errores en un intento de documentar el pago de chantaje como recompensa por los piratas informáticos de sombrero blanco que señalan problemas de seguridad pero no han comprometido los datos.
“Uber pagó a los piratas informáticos $ 100,000 en BitCoin en diciembre de 2016, a pesar de que los piratas informáticos se negaron a proporcionar sus nombres verdaderos (en ese momento)”, dijeron los fiscales federales. «Además, Sullivan buscó que los piratas informáticos firmaran acuerdos de confidencialidad. Los acuerdos contenían una representación falsa de que los piratas informáticos no tomaron ni almacenaron ningún dato».
«Además, después de que el personal de Uber pudo identificar a dos de las personas responsables de la violación, Sullivan hizo arreglos para que los piratas informáticos firmaran copias nuevas de los acuerdos de confidencialidad con sus nombres verdaderos. Los nuevos acuerdos retuvieron la condición falsa de que no se tenían datos». La nueva gerencia de Uber finalmente descubrió la verdad y reveló la violación públicamente, y a la FTC, en noviembre de 2017″.
El año pasado, ambos piratas informáticos fueron declarados culpables de varios cargos por piratear y chantajear a Uber, LinkedIn y otras corporaciones estadounidenses.
En 2018, los reguladores de protección de datos británicos y holandeses también multaron a Uber con 1,1 millones de dólares por no proteger la información personal de sus clientes durante un ciberataque de 2016.
Ahora, si Sullivan es declarado culpable de cargos de encubrimiento, podría enfrentar hasta ocho años de prisión, así como multas potenciales de hasta $ 500,000.
