El exjefe de seguridad de Uber fue condenado por encubrir una violación de datos en 2016 en el gigante de los viajes compartidos, ocultar detalles a los reguladores estadounidenses y pagar a un par de piratas informáticos a cambio de su discreción.
Se cree que el juicio, observado de cerca en los círculos de seguridad cibernética, es el primer enjuiciamiento penal de un ejecutivo de la empresa por el manejo de una violación de datos.
Joe Sullivan, quien dejó Uber en 2017, fue declarado culpable el martes por un jurado de San Francisco por obstruir una investigación de la Comisión Federal de Comercio. En el momento de la violación de 2016, el regulador había estado investigando el servicio de reserva de automóviles por un lapso de seguridad cibernética diferente que había ocurrido dos años antes.
Los miembros del jurado también condenaron a Sullivan por un segundo cargo relacionado con tener conocimiento, pero no informar, la infracción de 2016 a las autoridades gubernamentales correspondientes.
El incidente finalmente se hizo público en 2017 cuando Dara Khosrowshahi, quien acababa de asumir el cargo de director ejecutivo, reveló los detalles del ataque.
Los fiscales dijeron que Sullivan había tomado medidas para asegurarse de que los datos comprometidos en el ataque no fueran revelados. Según documentos judiciales, dos piratas informáticos se acercaron al equipo de Sullivan para notificar a Uber sobre una falla de seguridad que expuso información personal de casi 60 millones de conductores y pasajeros en la plataforma.
Los piratas informáticos, uno de los cuales testificó durante el juicio, rechazaron la oferta de la compañía de $10,000, el pago máximo bajo la política de “recompensa por errores” de Uber diseñada para fomentar la divulgación privada de fallas de seguridad, y amenazaron con divulgar los datos si no se pagaba una tarifa mayor. pagado.
Las partes negociaron un pago de 100.000 dólares, que requería la firma de un acuerdo de confidencialidad y el compromiso de eliminar cualquier dato de usuario que se hubiera obtenido. Los dos piratas informáticos luego se declararon culpables del ataque.
Los abogados de Sullivan defendieron sus acciones en los tribunales, diciendo que había actuado para proteger a los usuarios y que había notificado a sus superiores, incluido el entonces director ejecutivo Travis Kalanick, sobre la violación de datos.
El resultado enviará ondas de choque a través de la industria de la seguridad cibernética, lo que generará preguntas sobre quién debería asumir la responsabilidad cuando se produzcan infracciones perjudiciales.
“Este veredicto está fuera de lugar”, dijo Katie Moussouris, fundadora y directora ejecutiva de Luta Security, que se especializa en administrar programas de “recompensa de errores” para grandes organizaciones. “El rol de jefe de seguridad no puede convertirse en jefe de sacrificios si queremos que esos roles sean efectivos”.
Uber no respondió a las solicitudes de comentarios.
Sullivan, un exfiscal del gobierno especializado en delitos cibernéticos, también trabajó anteriormente en Facebook y Cloudflare.
Aún no se ha fijado una fecha para su sentencia. Podría enfrentar hasta ocho años de prisión.