Суд присяжних у Сан-Франциско визнав колишнього очільника служби безпеки Uber Джозефа Саллівана винним у перешкоджанні розслідуванню. Джо Салліван приховав витік даних у 2016 році, заплативши хакерам $100 000 “нагороди за виявлення помилок”.
За цією справою уважно стежила громадськість – це рідкісний випадок, коли найвище керівництво кібербезпеки компанії зіштовхнулося із кримінальними наслідками за рішення не розкривати інформацію про інцидент із зламом.
Вердикт, винесений у середу у федеральному суді США, опрелюднений після тритижневого судового розгляду. Пану Саллівану тепер загрожує п’ять років ув’язнення за звинуваченням у перешкоді та три роки ув’язнення за другим звинуваченням у неповідомленні про злочин.
Адвокати Саллівана стверджували, що їхній клієнт зрештою захистив близько 57 мільйонів записів клієнтів Uber у 2016 році, коли до них отримав доступ анонімний хакер, який зажадав платіж у розмірі $100 000. Зрештою, гроші були виплачені командою Саллівана як «нагорода за виявлення помилок».
Прокуратура заявила, що платіж був спробою пана Саллівана приховати інцидент і що він зробив кроки, щоб не допустити повідомлення про нього до Федеральної торгової комісії, яка розслідувала методи кібербезпеки Uber у зв’язку з більш раннім порушенням: Салліван був звільнений з Uber у 2017 році , а через три роки йому були пред’явлені звинувачення федеральною владою.
Справа була зосереджена навколо дій пана Саллівана після інциденту з кібербезпекою у листопаді 2016 року, який стався, коли Uber був об’єктом розслідування Федеральної торгової комісії. Анонімні хакери звернулися до Uber, заявивши, що виявили «серйозну вразливість» в Uber, отримали конфіденційні дані компанії та вимагали оплати. Наступного місяця Uber заплатив хакерам, використовуючи цифрову валюту біткойн, і зрештою відстежив їхні справжні особи та змусив підписати угоди про нерозголошення.
Після того, як хакери були ідентифіковані та пов’язані угодою про нерозголошення, команда пана Саллівана визнала, що вкрадені дані були захищені, і команда кваліфікувала інцидент як випадок винагороди за виявлення помилок, а не витік даних.
Компанія Uber, яка вже перебувала під слідством за неправильне поводження з даними клієнтів у 2014 році, не повідомила FTC про те, що сталося. Салліван також не повідомив про інцидент ключових членів команди юристів. Він зробив кроки, щоб запобігти ширшому поширенню інформації про те, що хакери завантажили дані Uber, в компанії, заявили прокурори.
Згідно з доказами, поданими в ході судового розгляду, тодішній виконавчий директор Uber Тревіс Каланік знав про цей інцидент. Каланік пішов у відставку під тиском інвесторів і його замінив нинішній генеральний директор Uber Дара Хосровшахі. Незабаром після того, як Хосровшахі прийняв кермо влади, він вирішив вивчити інцидент 2016 року і наказав провести розслідування.
У результаті внутрішнього розслідування стало відомо, що хакери завантажили значний обсяг даних і що їм заплатили значно більше звичайної винагороди Uber за виявлення помилок, про що Салліван не доповів керівництву.
У листопаді 2017 року Хосровшахі звільнив Саллівана. «Я відчував, що більше не можу довіряти цій людині», – сказав він.
Останнім часом влада США зайняла більш агресивну позицію в галузі контролю за технологічною галуззю. Процес може стати першим із багатьох подібних розслідувань.
Джерело: The Wall Street Journal