Суд присяжных в Сан-Франциско признал бывшего начальника службы безопасности Uber Джозефа Салливана виновным в препятствовании расследованию. Джо Салливан скрыл утечку данных в 2016 году, заплатив хакерам $100 000 «награды за обнаружение ошибок».
За этим делом внимательно следила общественность – это редкий случай, когда высшее руководство кибербезопасности компании столкнулось с уголовными последствиями за решение не раскрывать информацию об инциденте со взломом.
Вердикт, вынесенный в среду в федеральном суде США, последовал за трехнедельным судебным разбирательством. Салливану теперь грозит пять лет тюремного заключения по обвинению в препятствовании и три года тюремного заключения по второму обвинению в несообщении о преступлении.
Адвокаты Салливана утверждали, что их клиент в конечном итоге защитил около 57 млн записей клиентов Uber в 2016 году, когда к ним получил доступ анонимный хакер, который потребовал платеж в размере $100 000. В конечном итоге деньги были выплачены командой Салливана в качестве «награды за обнаружение ошибок».
Прокуратура заявила, что платеж был попыткой г-на Салливана скрыть инцидент и что он предпринял шаги, чтобы не допустить сообщения о нем в Федеральную торговую комиссию, которая расследовала методы кибербезопасности Uber в связи с более ранним нарушением: Салливан был уволен из Uber в 2017 году, а три года спустя ему были предъявлены обвинения федеральными властями.
Дело было сосредоточено вокруг действий г-на Салливана после инцидента с кибербезопасностью в ноябре 2016 года, который произошел, когда Uber был предметом расследования Федеральной торговой комиссии. Анонимные хакеры обратились к Uber, заявив, что обнаружили «серьезную уязвимость» в Uber, получили конфиденциальные данные компании и потребовали оплаты. В следующем месяце Uber заплатил хакерам, используя цифровую валюту биткойн, и в конечном итоге отследил их настоящую личность и заставил их подписать соглашения о неразглашении.
После того, как хакеры были идентифицированы и связаны соглашением о неразглашении, команда г-на Салливана сочла, что украденные данные были защищены, и команда квалифицировала инцидент как случай вознаграждения за обнаружение ошибок, а не утечку данных.
Компания Uber, который уже находилась под следствием за неправильное обращение с данными клиентов в 2014 году, не сообщил FTC о том, что произошло. Салливан также не сообщил об инциденте ключевым членам команды юристов. Он предпринял шаги, чтобы предотвратить более широкое распространение информации о том, что хакеры загрузили данные Uber, в компании, заявили прокуроры.
Согласно доказательствам, представленным в ходе судебного разбирательства, тогдашний исполнительный директор Uber Трэвис Каланик знал об этом инциденте. Каланик ушел в отставку под давлением инвесторов, и его заменил нынешний генеральный директор Uber Дара Хосровшахи. Вскоре после того, как Хосровшахи принял бразды правления, он решил изучить инцидент 2016 года и приказал провести расследование.
В результате внутреннего расследования стало известно, хакеры загрузили значительный объем данных и что им заплатили значительно больше обычного вознаграждения Uber за обнаружение ошибок, о чем Салливан не доложил руководству.
В ноябре 2017 года Хосровшахи уволил Салливана. «Я чувствовал, что больше не могу доверять этому человеку, — сказал он.
В последнее время власти США заняли более агрессивную позицию в области контроля pа технологической отраслью. Процесс может стать первым из многих подобных расследований.
Источник: The Wall Street Journal