EUA acusa ex-chefe de segurança do Uber de encobrir invasão massiva de hackers em 2016 – Últimas Notícias
O Departamento de Justiça dos EUA acusou Joseph Sullivan, 52, de obstrução da justiça, dizendo que tomou “medidas deliberadas” para manter a Federal Trade Commission de saber sobre o hack enquanto a agência monitorava a segurança do Uber após uma violação anterior.
Acredita-se que o caso seja a primeira vez que um oficial de segurança da informação corporativa é acusado de ocultar um hack.
Sullivan, ele próprio um ex-promotor federal, providenciou o pagamento de US $ 100.000 aos hackers de acordo com o programa do Uber para recompensar os pesquisadores de segurança que relatassem falhas. Esse valor foi de longe o maior que o Uber pagou por meio do programa de recompensas, que não tinha como objetivo cobrir o roubo de dados confidenciais.
Ex-chefe de segurança do Facebook, Sullivan agora trabalha como diretor de segurança da informação da Cloudflare.
Em entrevistas anteriores, a equipe de segurança disse que o pagamento do Uber tinha o objetivo de forçar os hackers a aceitar o dinheiro e garantir que os dados, especialmente as informações da carteira de motorista dos contratantes do Uber, fossem destruídos.
A reclamação diz que Sullivan fez com que os hackers assinassem acordos de não divulgação que afirmavam falsamente que não haviam roubado dados. Ele alega que o então CEO Travis Kalanick estava ciente das ações de Sullivan.
Uma porta-voz de Kalanick não quis comentar. Um porta-voz de Sullivan disse que as acusações não tinham mérito, que Sullivan havia trabalhado com seus colegas no caso e que as questões de divulgação foram decididas pelo departamento jurídico.
“Se não fosse pelos esforços do Sr. Sullivan e de sua equipe, é provável que os indivíduos responsáveis por este incidente nunca teriam sido identificados”, disse o porta-voz Brad Williams.
O sucessor de Kalanick como CEO – o atual chefe do Uber, Dara Khosrowshahi – revelou a recompensa e, em seguida, demitiu Sullivan e um vice após saber a extensão da violação. O Uber então pagou US $ 148 milhões para resolver reivindicações de todos os 50 estados dos EUA e de Washington, D.C. de que demorou muito para revelar o hack.
O caso Uber terá eco para o número crescente de empresas que lidam diretamente com hackers.
Muitos têm programas de recompensa como o Uber, que geralmente são vistos como uma ferramenta para melhorar a segurança e fornecer um incentivo para os hackers permanecerem dentro da lei. Mas alguns participantes não seguem as regras.
No caso do Uber, observou o FBI, os dois principais hackers atacaram outras empresas, o que a agência disse que poderia ter sido evitado se Sullivan tivesse ido primeiro à polícia. Ambos se declararam culpados e aguardam sentença.
O caso também sugere que as empresas que pagam hackers para se livrar de ransomware, programas maliciosos que criptografam seus arquivos, não estão isentas da obrigação de relatar perdas de informações pessoais confidenciais.
Source link
