Según el comunicado de prensa publicado por el Departamento de Justicia de Estados Unidos, Sullivan » tomó medidas deliberadas para ocultar, desviar y engañar a la Comisión Federal de Comercio sobre la violación «que también implicó pagar a los piratas informáticos un rescate de $ 100,000 para mantener el incidente en secreto.
«Hoy se presentó una denuncia penal en un tribunal federal que acusa a Joseph Sullivan de obstrucción de la justicia y comisión de un delito grave en relación con el intento de encubrimiento del hackeo de Uber Technologies en 2016», dice.
La violación de datos de Uber de 2016 expuso nombres, direcciones de correo electrónico, números de teléfono de 57 millones de usuarios y conductores de Uber, y números de licencias de conducir de alrededor de 600.000 conductores.
La compañía reveló esta información al público casi un año después, en 2017, inmediatamente después de que Sullivan dejara su trabajo en Uber en noviembre.
Posteriormente se informó que dos piratas informáticos, Brandon Charles Glover de Florida y Vasile Mereacre de Toronto, estuvieron detrás del incidente a quienes Sullivan aprobó pagar dinero a cambio de promesas de eliminar datos de clientes que habían robado.
Todo esto comenzó cuando Sullivan, como representante de Uber, en 2016 respondía a las consultas de la FTC sobre un incidente anterior de violación de datos en 2014, y durante el mismo tiempo, Brandon y Vasile lo contactaron con respecto a la nueva violación de datos.
«El 14 de noviembre de 2016, aproximadamente 10 días después de dar su testimonio a la FTC, Sullivan recibió un correo electrónico de un pirata informático informándole que Uber había sido violado nuevamente».
«El equipo de Sullivan pudo confirmar la infracción dentro de las 24 horas posteriores a la recepción del correo electrónico. En lugar de informar la infracción de 2016, Sullivan supuestamente tomó medidas deliberadas para evitar que el conocimiento de la infracción llegara a la FTC».
Según los documentos judiciales, el monto del rescate se pagó a través de un programa de recompensas por errores en un intento de documentar el pago de chantaje como recompensa para los piratas informáticos de sombrero blanco que señalan problemas de seguridad pero no han comprometido los datos.
«Uber pagó a los piratas informáticos 100.000 dólares en BitCoin en diciembre de 2016, a pesar de que los piratas informáticos se negaron a proporcionar sus nombres verdaderos (en ese momento)», dijeron los fiscales federales. «Además, Sullivan buscó que los piratas informáticos firmaran acuerdos de no divulgación. Los acuerdos contenían una declaración falsa de que los piratas informáticos no tomaron ni almacenaron ningún dato».
Además, después de que el personal de Uber pudo identificar a dos de los individuos responsables de la violación, Sullivan dispuso que los piratas informáticos firmaran copias nuevas de los acuerdos de no divulgación con sus nombres verdaderos. Los nuevos acuerdos mantuvieron la condición falsa de que no había La nueva administración de Uber finalmente descubrió la verdad y reveló la violación públicamente, y a la FTC, en noviembre de 2017 «.
Apenas el año pasado, ambos piratas informáticos fueron declarados culpables de varios cargos por piratería y chantaje a Uber, LinkedIn y otras corporaciones estadounidenses.
En 2018, los reguladores de protección de datos británicos y holandeses también multaron a Uber con 1,1 millones de dólares por no proteger la información personal de sus clientes durante un ciberataque de 2016.
Ahora, si Sullivan es declarado culpable de cargos de encubrimiento, podría enfrentar hasta ocho años de prisión, así como posibles multas de hasta $ 500,000.
