Un jurado de la corte federal de EE. UU. encontró al ex director de seguridad de Uber, Joseph Sullivan , culpable de no revelar una violación de los registros de clientes y conductores en 2016 a los reguladores e intentar encubrir el incidente.
Sullivan ha sido condenado por dos cargos: uno por obstruir la justicia al no denunciar el incidente y otro por cometer errores. Enfrenta un máximo de cinco años de prisión por el cargo de obstrucción y un máximo de tres años por el segundo.
«Las empresas de tecnología en el Distrito Norte de California recopilan y almacenan grandes cantidades de datos de los usuarios», dijo la fiscal federal Stephanie M. Hinds en un comunicado de prensa.
«Esperamos que esas empresas protejan esos datos y alerten a los clientes y a las autoridades competentes cuando los piratas informáticos roben dichos datos. Sullivan trabajó afirmativamente para ocultar la violación de datos de la Comisión Federal de Comercio y tomó medidas para evitar que los piratas informáticos fueran atrapados».
El hackeo de Uber en 2016 ocurrió como resultado de dos piratas informáticos que obtuvieron acceso no autorizado a las copias de seguridad de la base de datos de la compañía, lo que llevó a la empresa de transporte compartido a pagar en secreto un rescate de $100,000 en diciembre de 2016 a cambio de eliminar la información robada.
Uber también hizo que los extorsionistas firmaran un acuerdo de confidencialidad en un intento de hacer pasar el robo como una recompensa por errores. Las copias de seguridad contenían datos pertenecientes a 50 millones de usuarios de Uber y 7 millones de conductores.
Para complicar aún más las cosas, el incidente ocurrió cuando el Departamento de Justicia de EE. UU. y la Comisión Federal de Comercio (FTC) ya estaban investigando a la empresa por otra violación de datos que tuvo lugar el 13 de mayo de 2014.
En febrero de 2015, Uber reveló que se había accedido indebidamente a una de sus bases de datos luego de un posible compromiso de una de las claves de cifrado, lo que resultó en la exposición de nombres y números de licencia de aproximadamente 50,000 conductores. El incidente fue descubierto el 14 de septiembre de 2016.
«Después de engañar a los consumidores sobre sus prácticas de privacidad y seguridad, Uber agravó su conducta indebida al no informar a la Comisión que sufrió otra filtración de datos en 2016 mientras la Comisión investigaba la filtración sorprendentemente similar de la empresa en 2014», señaló la FTC en 2018.
El Departamento de Justicia dijo que Sullivan desempeñó un papel crucial en la configuración de la respuesta de Uber a la FTC con respecto a la violación de 2014, y el acusado testificó bajo juramento el 4 de noviembre de 2016 sobre la cantidad de pasos que afirmó que la empresa había tomado para proteger los datos de los usuarios.
Pero al enterarse de que Uber se vio comprometido nuevamente, solo diez días después de su testimonio ante la FTC, la agencia dijo que «Sullivan ejecutó un esquema para evitar que cualquier conocimiento de la violación llegara a la FTC» en lugar de optar por divulgar el asunto a las autoridades y sus usuarios
Los fiscales federales también acusaron a Sullivan de mentirle al director ejecutivo de Uber, Dara Khosrowshahi, así como a los abogados externos de la compañía que investigaban el incidente de 2016, afirmando que la «verdad sobre la violación» finalmente salió a la luz en noviembre de 2017 .
Además, se dice que Travis Kalanick, cofundador y luego director ejecutivo de Uber, quien renunció a la compañía en junio de 2017, aprobó la estrategia de Sullivan para manejar la intrusión no autorizada. Kalanick no ha sido acusado.
En un comunicado compartido con The New York Times, el equipo legal de Sullivan dijo que su único enfoque durante el transcurso del incidente y su carrera profesional ha sido garantizar la «seguridad de los datos personales de las personas en Internet».
El desarrollo, que marca la primera vez que un alto ejecutivo de la empresa enfrenta cargos penales por una violación de datos, se produce cuando los dos piratas informáticos involucrados en el incidente de 2016 esperan sentencia por sus cargos de conspiración de fraude después de declararse culpable del delito en octubre de 2019.
«Las declaraciones de culpabilidad separadas presentadas por los piratas informáticos demuestran que después de que Sullivan ayudó a encubrir el hackeo de Uber, los piratas informáticos pudieron cometer una intrusión adicional en otra entidad corporativa, Lynda.com, e intentar rescatar esos datos también». señaló el Departamento de Justicia.
A pesar de que las fallas de seguridad de 2014 y 2016 se reflejaron entre sí, Uber fue el centro de atención el mes pasado por razones equivocadas cuando sus sistemas fueron violados por tercera vez en un ataque que desde entonces ha vinculado al grupo de ciberdelincuencia LAPSUS$ .
En julio pasado, Uber también llegó a un acuerdo con el Departamento de Justicia para pagar $ 148 millones y acordó «implementar un programa de integridad corporativa, salvaguardas específicas de seguridad de datos y planes de notificación de violación de datos y respuesta a incidentes, junto con evaluaciones bienales».
«El mensaje del veredicto de culpabilidad de hoy es claro: las empresas que almacenan los datos de sus clientes tienen la responsabilidad de proteger esos datos y hacer lo correcto cuando se producen infracciones», dijo el agente especial a cargo del FBI en San Francisco, Robert K. Tripp.