El exjefe de seguridad de Uber ha sido acusado de obstrucción a la justicia por tratar de ocultar una violación de datos a la Comisión Federal de Comercio y la administración de Uber, según un comunicado del Departamento de Justicia .
AntilavadoDeDinero / The Verge
Joseph Sullivan, quien fue el director de seguridad de Uber desde abril de 2015 hasta noviembre de 2017, supuestamente ocultó el ataque que ocurrió en octubre de 2016 , que expuso datos confidenciales de 57 millones de conductores y clientes, incluida la información de la licencia de conducir. Uber pagó a los piratas informáticos 100.000 dólares en bitcoins para eliminar los datos, según el Departamento de Justicia. (Sullivan fue despedido más tarde).
Además de obstrucción de la justicia, Sullivan está acusado de cometer un delito grave, lo que significa que sabía de la infracción y tomó medidas para ocultarla. Si es declarado culpable, enfrenta hasta cinco años de prisión por el cargo de obstrucción y hasta tres años por el cargo de comisión indebida.
El portavoz de Sullivan, Bradford Williams, dijo en un correo electrónico a The Verge que los cargos contra su cliente «no tenían ningún mérito», y señaló que Sullivan es «un respetado experto en ciberseguridad y ex fiscal federal adjunto».
Williams dice que si no fuera por los esfuerzos de Sullivan y los esfuerzos del equipo de seguridad de Uber, «es probable que las personas responsables de este incidente nunca hubieran sido identificadas». Dijo que Sullivan y su equipo “colaboraron estrechamente con los equipos legales, de comunicaciones y otros equipos relevantes de Uber, de acuerdo con las políticas escritas de la compañía. Esas políticas dejaron en claro que el departamento legal de Uber, y no el Sr. Sullivan o su grupo, era responsable de decidir si se debía revelar el asunto y a quién «.
El hackeo ocurrió durante una investigación sobre una violación de 2014 , y Sullivan estaba ayudando a las autoridades con esa investigación cuando dos hackers lo contactaron y exigieron un pago de seis cifras para mantener el hack en silencio, dice el Departamento de Justicia.
“En lugar de informar sobre la infracción de 2016, Sullivan supuestamente tomó medidas deliberadas para evitar que el conocimiento de la infracción llegara a la FTC”, según el Departamento de Justicia.
Según los cargos, Sullivan intentó pagar a los piratas informáticos a través de un programa de recompensas por errores, pagando los $ 100,000 a pesar de que la empresa no sabía quiénes eran los piratas informáticos. Sullivan intentó que los piratas informáticos firmaran acuerdos de no divulgación, que establecían que los piratas informáticos no tomaron ni almacenaron ninguno de los datos del usuario y del conductor.
En la denuncia penal , presentada en el Distrito Norte de California, el FBI detalla algunos de los pasos que supuestamente tomó Sullivan una vez que se dio cuenta de que la información de la licencia de conducir podría haber estado involucrada en el ataque. «Aproximadamente a la 1:00 a. M., Hora del Pacífico, el 15 de noviembre de 2016, Sullivan se comunicó con el entonces director ejecutivo de Uber [Travis Kalanick] por mensaje de texto», afirma la denuncia, y agrega que los registros de llamadas muestran que Sullivan y Kalanick tuvieron una llamada que duró aproximadamente cinco minutos. “La respuesta del director ejecutivo refleja que ya se estaba discutiendo la posibilidad de tratar el incidente bajo el programa de recompensas por errores”, dice la denuncia.
Una vez que el personal de Uber identificó a los piratas informáticos, Sullivan les pidió que firmaran nuevas copias de los acuerdos de NDA. La gerencia de Uber descubrió lo que estaba sucediendo y reveló la violación. Según la denuncia penal, los términos del programa de recompensas por errores de Uber «no autorizaban recompensar a un pirata informático que había accedido y obtenido información de identificación personal de los usuarios y conductores de los sistemas controlados por Uber».
Le puede interesar: Cuatro hermanos arrestados por fraude contra Amazon en Nueva York
Desde noviembre de 2016, Uber ha estado cooperando con el gobierno en la investigación, según el comunicado del Departamento de Justicia.
«Seguimos cooperando plenamente con la investigación del Departamento de Justicia», dijo un portavoz de Uber en un comunicado enviado por correo electrónico a The Verge el jueves. “Nuestra decisión en 2017 de divulgar el incidente no solo fue lo correcto, sino que encarna los principios por los que manejamos nuestro negocio hoy: transparencia, integridad y responsabilidad”.
