Bývalý šéf bezpečnosti ve společnosti Uber je obviněn z krytí úniku dat v roce 2016
Zpět na blogFederální státní zástupci ve Spojených státech obvinili bývalého bezpečnostního šéfa Uberu Josepha Sullivana z toho, že kryl rozsáhlý únik dat, který v roce 2016 společnost postihl.
Podle tiskové zprávy zveřejněné americkým ministerstvem spravedlnosti Sullivan „podnikl úmyslné kroky k zakrytí úniku a klamal Federální obchodní komisi“, tyto kroky zahrnovaly také vyplacení výkupného ve výši 100 000 dolarů útočníkům, aby incident zůstal v tajnosti.
„Trestní oznámení bylo podáno u federálního soudu, který obvinil Josepha Sullivana z překážení spravedlnosti v souvislosti s pokusem o zakrytí kybernetického útoku na společnost Uber Technologies v roce 2016,“ uvádí tisková zpráva.
Během úniku došlo ke kompromitaci jmen, e-mailů a telefonních čísel 57 milionů uživatelů i řidičů Uberu
a také unikla čísla řidičských oprávnění přibližně 600 000 řidičů. Společnost incident přiznala až o rok později, ihned poté Sullivan Uber opustil. Později vyšlo najevo, že za únikem stojí dva pachatelé, Brandon Charles Glover z Floridy a Vasile Mereacre z Toronta. Právě této dvojici Sullivan nechal vyplatit peníze za to, že ukradená data vymažou. Útočníci Sullivana kontaktovali v době, kdy coby zástupce Uberu vysvětloval Federální obchodní komisi předchozí incident z roku 2014. Také v tomto případě došlo k úniku dat a narušení bezpečnosti osobních údajů. Jen několik dní poté co Sullivan vypovídal před komisí, obdržel e-mail, který ho informoval o novém narušení bezpečnosti.
Sullivanův tým do 24 hodin potvrdil, že k úniku dat skutečně došlo. Namísto toho, aby Sullivan o incidentu uvědomil patřičné úřady, podnikl kroky k tomu, aby celou záležitost udržel v tajnosti.
Podle soudních dokumentů byla částka na výkupné vyplacena prostřednictvím bug bounty programu ve snaze legitimizovat platbu. Útočníkům byla částka vyplacena formou bitcoinů navzdory tomu, že v té době odmítli poskytnout informace o své skutečné identitě. Sullivan se také pokusil útočníky přimět, aby podepsali dohodu o mlčenlivosti – dohoda navíc obsahovala nepravdivé tvrzení o tom, že si „bug hunteři“ neukládali a nezachovali žádná data.
Poté co se expertům z Uberu podařilo oba útočníky identifikovat, Sullivan zařídil, aby podepsali nové dohody o mlčenlivosti svými pravými jmény. I tyto nové dohody zachovaly nepravdivou klauzuli, že nedošlo k ukládání a uchovávání dat. Až nové vedení odhalilo, k čemu ve skutečnosti došlo. Incident byl nahlášen Federální obchodní komisi v listopadu 2017. Oba útočníci byli shledáni vinnými, a to nejen z vydírání Uberu, ale také z útoků na LinkedIn a další americké korporace.
V roce 2018 britské a nizozemské regulační orgány pro ochranu osobních údajů uložily Uberu pokutu ve výši 1,1 milionu dolarů, že nechránil při incidentu v roce 2016 dostatečně osobní údaje svých zákazníků.
Pokud bude Sullivan shledán vinným z úmyslného krytí zločinu, mohl by být odsouzen až k osmi letům vězení a pokutě až 500 000 dolarů.
Zdroj: THN
23. 8. 2020