Ex CSO de Uber condenado por encubrir violación de datos

Publicado el: 7 de Octubre de 2022

El ex director de seguridad (CSO) de Uber, Joseph Sullivan, fue condenado por obstruir los procedimientos de la Comisión Federal de Comercio (FTC) al encubrir una violación masiva de datos en 2016.

El hack de Uber de 2016 sigue siendo digno de mención, ya que incluyó registros de la friolera de 57 millones de usuarios de Uber y alrededor de 600,000 XNUMX números de licencias de conducir.

Uber contrató a Sullivan como su CSO en 2015, un año después de que los piratas informáticos atacaran la empresa por primera vez. En respuesta a la violación de datos, la FTC emitió una demanda de investigación civil contra Uber que exigía información sobre cualquier otro acceso no autorizado a la información personal de los usuarios y las prácticas de seguridad de la empresa.

Como CSO, Sullivan testificó bajo juramento con respecto a las prácticas de seguridad de datos de Uber y afirmó que la empresa tomó medidas adicionales para proteger los datos de los usuarios. Sin embargo, Uber terminó siendo pirateado nuevamente.

“Los piratas informáticos se comunicaron con Sullivan directamente, por correo electrónico, el 14 de noviembre de 2016”, decía el comunicado de prensa de la Oficina del Fiscal Federal para el Distrito Norte de California el miércoles. “Los piratas informáticos informaron a Sullivan y a otros en Uber que habían robado una cantidad significativa de datos de usuarios de Uber, y exigieron un gran pago de rescate de Uber a cambio de que eliminaran esos datos”.

“Los empleados que trabajan para Sullivan verificaron rápidamente la precisión de estas afirmaciones y el robo masivo de datos de usuarios, que incluía registros de aproximadamente 57 millones de usuarios de Uber y 600,000 XNUMX números de licencias de conducir”, agregó el comunicado de prensa.

En lugar de informar a la FTC sobre el incidente, Sullivan hizo todo lo posible por encubrirlo. Se acercó a los piratas informáticos y acordó pagarles $ 100,000 en bitcoins a cambio de que firmaran acuerdos de confidencialidad que prometían no anunciar el ataque.

Durante los siguientes años, Sullivan mintió a los abogados, a la FTC y al nuevo director ejecutivo de Uber sobre la violación de datos. Sin embargo, la empresa finalmente descubrió el incidente a fines de 2017 e informó la infracción a la FTC.

Los dos piratas informáticos que violaron Uber fueron procesados ​​en el Distrito Norte de California después de declararse culpables y ahora esperan sentencia. Lo mismo ocurrió con Joseph Sullivan, pero actualmente está libre bajo fianza pendiente de sentencia.