La giuria dichiara colpevole l’ex-dirigente a capo della sicurezza informatica di Uber, Joe Sullivan, per aver coperto l’attacco hacker subito nel 2016. Un colpo che espose nomi, email e numeri di telefono di 57 milioni di persone fra utenti e autisti. Ma che Sullivan tenne segreto il più a lungo possibile.
Joe Sullivan, l’ex-dirigente Uber è colpevole di ostruzione della giustizia
La giura del processo ha dichiarato Joe Sullivan colpevole di ostruzione alla giustizia per non aver rivelato alle autorità (in particolare la FTC) l’attaco hacker subito da Uber. Inoltre, risulta colpevole di occultamento di reato alle autorità. Invece i pubblici ministeri avevano già stralciato le accuse di frode lo scorso agosto.
Sullivan nel 2016 si occupava della sicurezza di Uber, dopo aver lavorato in ruoli simili per aziende come Facebook e Cloudflare. Aveva persino lavorato come esperto di cybercrimine per la stessa procura di San Francisco che ora ha chiesto e ottenuto la sua condanna.
L’attacco del 2016
Nel 2016 due hacker trovarono delle chiavi di accesso allo storage su Amazon Web Services (AWS) di Uber, ottenute analizzando il codice pubblicato su Github da degli sviluppatori di Uber. L’azienda utilizza quei server per depositare il backup dei propri database. In questo modo hanno potuto ottenere nomi, email e numeri di telefono di 50 milioni di utenti e 7 milioni di autisti, 600 mila dei quali hanno visto esposte anche le proprie patenti di guida.
I cybercriminali hanno contattato Uber e negoziato il pagamento di un riscatto: 100 mila dollari in Bitcoin per eliminare quei dati. Uber li pagò fingendo fossero parte del programma di “Bug Bounty” della compagnia, che ricompensa gli hacker ‘leggitimi’ che trovano vulnerabilità nel sistema e li comunicano alla società. Gli hacker tuttavia ammisero l’attacco nel 2019.
Uber aveva già subito un attacco simile nel 2014, come dimostra l’accusa negli incartamenti presentati in tribunale. E di recente la compagnia è stata colpita dagli hacker di Lapsus$. In questo caso però la differenza sta nella trasparenza: Uber ha finto di non aver mai esposto i dati di utenti e autisti, quando invece non era così. E la procura ha trovato in Sullivan il colpevole di questa decisione.
Un precedente storico
Il New York Times fa presente che questo potrebbe essere il primo caso in cui un dirigente di una compagnia risulta colpevole per aver occultato un crimine legato a un attacco hacker. Questo potrebbe cambiare il modo in cui le compagnie reagiscono alle richieste di riscatto del ransomware.
Ma la procura durante il processo ha anche mostrato prove di come Sullivan abbia contatto l’allora CEO Travis Kalanick e l’avvocato esperto di privacy della compagnia. Tuttavia, Sullivan ha spiegato di non averne parlato con il consiglio di amministrazione né con il nuovo CEO Dara Khosrowshahi. Il nuovo CEO ha licenziato Sullivan alla scoperta dell’occultamento e ha patteggiato con gli utenti i cui dati erano stati esposti.
Gli avvocati di Sullivan riportano che il dirigente ha tuttavia trovato e contattato gli hacker, facendo loro firmare degli NDA affinché non rivelassero nulla dei dati utenti sottratti. Ma questo non ha impedito un’accusa che potrebbe costargli fino a otto anni di carcere. Anche se gli esperti pensano che possa ottenere una sentenza molto minore quando sarà proclamata.
Nel frattempo, il suo esempio potrebbe cambiare il modo in cui le compagnie gestiscono gli attacchi hacker. Che sono sempre più frequenti.
- ESCLUSIVA AMAZON: ricevi 3 mesi aggiuntivi al tuo abbonamento annuale per un totale di 15 mesi
- McAfee Total Protection offre protezione tutto in uno - Antivirus, sicurezza e protezione della privacy e...
- Verifica l’integrità della tua protezione online - Il nostro punteggio di protezione, unico nel settore, identifica...