Los fiscales federales de Estados Unidos han acusado al ex director de seguridad de Uber, Joe Sullivan, por encubrir una violación masiva de datos que sufrió la empresa de transporte compartido en 2016.
Según el comunicado de prensa publicado por el Departamento de Justicia de EE. UU., Sullivan «tomó deliberadamente medidas para ocultar, desviar y engañar a la Comisión Federal de Comercio sobre la violación». Entre esas medidas se encuentra el pago de un rescate a los piratas informáticos de 100.000 dólares para mantener el incidente en secreto.
Comunicado de prensa oficial.
«Hoy se presentó una denuncia penal en un tribunal federal que acusa a Joseph Sullivan de obstrucción de la justicia y comisión de un delito grave en relación con el intento de encubrimiento del hackeo de Uber Technologies en 2016».
La violación de datos de Uber de 2016 expuso nombres, direcciones de correo electrónico, números de teléfono de 57 millones de usuarios y conductores de Uber, y números de licencias de conducir de alrededor de 600.000 conductores.
La compañía reveló esta información al público casi un año después, en 2017, inmediatamente después de que Sullivan dejara su trabajo en Uber en noviembre. Posteriormente se informó de que dos piratas informáticos, Brandon Charles Glover de Florida y Vasile Mereacre de Toronto, estuvieron detrás del incidente y que Sullivan aprobó pagarles dinero a cambio de promesas de borrar datos de clientes que habían robado.
Todo esto comenzó cuando Sullivan, como representante de Uber, en 2016 respondía a las consultas de la FTC sobre un incidente anterior de violación de datos en 2014, y durante el mismo tiempo, Brandon y Vasile lo contactaron con respecto a la nueva violación de datos.
«El 14 de noviembre de 2016, aproximadamente 10 días después de dar su testimonio a la FTC, Sullivan recibió un correo electrónico de un pirata informático informándole que Uber había sido violado nuevamente. El equipo de Sullivan pudo confirmar la infracción dentro de las 24 horas posteriores a la recepción del correo electrónico. En lugar de informar la infracción de 2016, Sullivan, supuestamente, tomó medidas deliberadas para evitar que el conocimiento de la infracción llegara a la FTC».
Según los documentos judiciales, el rescate se pagó a través de un programa de bugbounty, en un intento de hacer pasar el pago de chantaje como si se tratara de una recompensa para los hackers éticos, que señalan problemas de seguridad sin comprometer los datos.
«Uber pagó a los piratas informáticos 100.000 dólares en BitCoin en diciembre de 2016, a pesar de que los piratas informáticos se negaron a proporcionar sus nombres verdaderos (en ese momento)», dijeron los fiscales federales. «Además, Sullivan buscó que los piratas informáticos firmaran acuerdos de no divulgación. Los acuerdos contenían una declaración falsa de que los piratas informáticos no tomaron ni almacenaron ningún dato».
Además, después de que el personal de Uber pudo identificar a dos de los individuos responsables de la infracción, Sullivan dispuso que los piratas informáticos firmaran copias nuevas de los acuerdos de no divulgación con sus nombres verdaderos. Los nuevos acuerdos mantuvieron la condición falsa de que no había datos. La nueva administración de Uber finalmente descubrió la verdad y reveló la violación públicamente, y a la FTC, en noviembre de 2017 «.
Apenas el año pasado, ambos hackers fueron declarados culpables de varios cargos de delitos informáticos y extorsión a Uber, LinkedIn y otras corporaciones estadounidenses.
En 2018, los reguladores de protección de datos británicos y holandeses también multaron a Uber con 1,1 millones de dólares por no proteger la información personal de sus clientes durante el ciberataque de 2016.
Ahora, si Sullivan es declarado culpable de cargos de encubrimiento, podría enfrentar hasta ocho años de prisión, así como posibles multas de hasta medio millón de dólares.
Más información:
Former Uber Security Chief Charged Over Covering Up 2016 Data Breach
Deja una respuesta