Присяжные федерального суда США признали бывшего начальника службы безопасности Uber Джозефа Салливана виновным в том, что он не сообщил регулирующим органам о взломе записей клиентов и водителей в 2016 году и пытался скрыть данный инцидент. Пишет The Hacker News.
Салливан был осужден по двум статьям: за воспрепятствование правосудию и преднамеренное сокрытие сведений о преступлении. По обвинению в воспрепятствовании ему грозит до пяти лет лишения свободы, а за последнее — до трех лет.
«Технологические компании в Северном округе Калифорнии собирают и хранят огромные объемы данных пользователей. Мы ожидаем, что эти компании будут защищать эти данные и предупреждать клиентов и соответствующие органы, когда такие данные украдены хакерами. Салливан решительно работал над тем, чтобы скрыть утечку данных от Федеральной торговой комиссии, и предпринял шаги, чтобы предотвратить поимку хакеров», — заявила прокурор США Стефани М. Хайндс.
Взлом Uber в 2016 году произошел в результате того, что два хакера получили несанкционированный доступ к резервным копиям базы данных компании, что побудило фирму тайно заплатить выкуп в размере 100 000 долларов в декабре 2016 года в обмен на удаление украденной информации.
Uber также заставил вымогателей подписать соглашение о неразглашении, пытаясь выдать взлом за награду за обнаружение ошибок. Резервные копии содержали данные, принадлежащие 50 миллионам пользователей Uber и семи миллионам водителей. Еще больше усложняет ситуацию то, что инцидент произошел, когда Министерство юстиции США и Федеральная торговая комиссия (FTC) уже проверяли компанию на предмет еще одной утечки данных, которая произошла 13 мая 2014 года.
В феврале 2015 года Uber сообщил, что к одной из ее баз данных был получен несанкционированный доступ, что привело к раскрытию имен и номеров лицензий около 50 000 водителей. Инцидент был обнаружен 14 сентября 2016 года.
«Введя потребителей в заблуждение относительно своих методов обеспечения конфиденциальности и безопасности, Uber усугубил свое неправомерное поведение тем, что не сообщил Комиссии о еще одной утечке данных в 2016 году, в то время как Комиссия расследовала поразительно похожую утечку данных компании в 2014 году», — отметила FTC в 2018 году.
Министерство юстиции заявило, что Салливан сыграл решающую роль в формировании реакции Uber на FTC в отношении взлома в 2014 году, когда 4 ноября 2016 года ответчик дал показания под присягой о количестве шагов, которые, по его утверждению, компания предприняла для защиты пользовательских данных.
Но, узнав, что Uber снова был скомпрометирован, всего через десять дней после его показаний в FTC, агентство заявило, что «Салливан реализовал схему, чтобы предотвратить попадание информации о взломе в FTC», вместо того, чтобы сообщить об этом властям и его пользователи.
Федеральная прокуратура также обвинила Салливана во лжи исполнительному директору Uber Даре Хосровшахи, а также сторонним юристам компании, расследовавшим инцидент 2016 года, заявив, что «правда о взломе» наконец-то стала известна в ноябре 2017 года .
Это событие, которое знаменует собой первый случай, когда старшему руководителю компании предъявляются уголовные обвинения в связи с утечкой данных.
«Смысл сегодняшнего обвинительного вердикта ясен: компании, хранящие данные своих клиентов, несут ответственность за защиту этих данных и поступают правильно, когда происходят нарушения», — сказал ответственный специальный агент ФБР в Сан-Франциско Роберт К. Трипп.