ABD federal mahkemesi jürisi eski Uber Baş Güvenlik Görevlisini buldu Joseph Sullivan 2016 yılında müşteri ve sürücü kayıtlarının ihlalini düzenleyicilere açıklamamaktan ve olayı örtbas etmeye çalışmaktan suçlu bulundu.
Sullivan iki suçtan mahkûm edildi: Biri olayı bildirmeyerek adaleti engellemekten, diğeri ise görevi kötüye kullanmaktan. Engelleme suçundan en fazla beş yıl, ikincisi için en fazla üç yıl hapis cezasıyla karşı karşıya.
ABD’li Avukat Stephanie M. Hinds, “Kaliforniya’nın Kuzey Bölgesi’ndeki teknoloji şirketleri, kullanıcılardan çok miktarda veri toplar ve depolar,” söz konusu bir basın açıklamasında.
“Bu şirketlerin bu verileri korumasını ve bu tür veriler bilgisayar korsanları tarafından çalındığında müşterileri ve ilgili makamları uyarmalarını bekliyoruz. Sullivan, veri ihlalini Federal Ticaret Komisyonu’ndan gizlemek için olumlu bir şekilde çalıştı ve bilgisayar korsanlarının yakalanmasını önlemek için adımlar attı.”
Uber’in 2016 ihlali, iki bilgisayar korsanının şirketin veritabanı yedeklerine yetkisiz erişim kazanmasının bir sonucu olarak meydana geldi ve araç çağırma firmasının çalınan bilgileri silmek karşılığında Aralık 2016’da gizlice 100.000 $ fidye ödemesine neden oldu.
Uber ayrıca gaspçılara, hırsızlığı bir hata ödülü ödülü olarak devretmek amacıyla bir ifşa etmeme anlaşması imzalattı. Yedekler, 50 milyon Uber sürücüsüne ve yedi milyon sürücüye ait verileri içeriyordu.
Olayları daha da karmaşık hale getiren olay, ABD Adalet Bakanlığı ve Federal Ticaret Komisyonu’nun (FTC), şirketi 13 Mayıs 2014’te gerçekleşen başka bir veri ihlali için incelemeye başladığı sırada meydana geldi.
Şubat 2015’te Uber meydana çıkarmak şifreleme anahtarlarından birinin olası bir güvenliğinin ihlal edilmesinin ardından veritabanlarından birine uygunsuz şekilde erişildiğini ve bunun sonucunda yaklaşık 50.000 sürücünün adlarının ve lisans numaralarının açığa çıktığını söyledi. Olay, 14 Eylül 2016’da keşfedildi.
FTC, “Tüketicileri gizlilik ve güvenlik uygulamaları hakkında yanılttıktan sonra, Uber, Komisyon’un şirketin 2014’teki çarpıcı şekilde benzer ihlalini araştırırken 2016’da başka bir veri ihlaline maruz kaldığını Komisyon’a bildirmeyerek suistimalini artırdı.” kayıt edilmiş 2018 yılında.
DoJ, Sullivan’ın Uber’in FTC’ye 2014 ihlaliyle ilgili yanıtını şekillendirmede çok önemli bir rol oynadığını ve davalının 4 Kasım 2016’da şirketin kullanıcı verilerini güvence altına almak için attığını iddia ettiği adımların sayısı hakkında yeminli ifade verdiğini söyledi.
Ancak Uber’in tekrar ele geçirildiğini öğrendikten sonra, FTC ifadesinden sadece on gün sonra, ajans konuyu yetkililere açıklamayı seçmek yerine “Sullivan, ihlalle ilgili herhangi bir bilginin FTC’ye ulaşmasını önlemek için bir plan yürüttü” dedi ve onun kullanıcıları.
Federal savcılar ayrıca Sullivan’ı Uber’in CEO’su Dara Khosrowshahi’ye ve şirketin 2016 olayını araştıran dış avukatlarına yalan söylemekle suçladılar ve “ihlal hakkındaki gerçeğin” nihayet Kasım 2017’de gün yüzüne çıktığını belirttiler.
Dahası, Uber’in kurucu ortağı ve ardından CEO’su Travis Kalanick, istifa Haziran 2017’de şirketten, onaylı Sullivan’ın yetkisiz izinsiz girişleri ele alma stratejisi. Kalanick suçlanmadı.
The New York Times ile paylaşılan bir açıklamada, Sullivan’ın hukuk ekibi söz konusu olay ve mesleki kariyeri boyunca tek odak noktası “insanların internetteki kişisel verilerinin güvenliğini” sağlamak olmuştur.
Üst düzey bir şirket yöneticisinin bir veri ihlali nedeniyle ilk kez cezai suçlamalarla karşı karşıya kaldığına işaret eden gelişme, 2016 olayına karışan iki bilgisayar korsanının cezalarını beklerken ortaya çıkıyor. dolandırıcılık komplo suçlamaları Ekim 2019’da suç duyurusunda bulunduktan sonra.
“Bilgisayar korsanları tarafından girilen ayrı suç duyuruları, Sullivan’ın Uber’in hack’ini örtbas etmeye yardım ettikten sonra, bilgisayar korsanlarının başka bir kurumsal varlığa – Lynda.com – ek bir izinsiz giriş gerçekleştirebildiğini ve bu verileri de fidye girişiminde bulunduğunu gösteriyor.” DoJ işaret etti.
2014 ve 2016 güvenlik kesintilerinin birbirini yansıtmasına rağmen, Uber geçen ay yanlış nedenlerle, o zamandan beri LAPSUS$ siber suç grubuyla bağlantılı olduğu bir saldırıda sistemleri üçüncü kez ihlal edildiğinde dikkatleri üzerine çekti.
Geçtiğimiz Temmuz ayında, Uber ayrıca yerleşmiş DoJ ile 148 milyon dolar ödemeye ve “bir kurumsal bütünlük programı, belirli veri güvenliği önlemleri ve olay müdahalesi ve veri ihlali bildirim planlarının yanı sıra iki yılda bir yapılan değerlendirmeleri uygulamaya” karar verdi.
FBI San Francisco Sorumlu Özel Temsilcisi Robert K. Tripp, “Bugünün suçlu kararındaki mesaj açık: müşterilerinin verilerini depolayan şirketler, bu verileri korumak ve ihlaller meydana geldiğinde doğru olanı yapmakla yükümlüdür.” dedi.