Responsabile della security di Uber condannato e poi licenziato per aver tenuto nascosto un attacco hacker
L'ex responsabile della sicurezza di Uber, Joe Sullivan, è stato dichiarato colpevole di aver tenuto nascosto un attacco informatico del 2016, che ha portato al furto dei dati personali di oltre 57 milioni di persone tra utenti e dipendenti della compagnia. Le informazioni rubate a Uber comprendevano nomi, indirizzi e-mail e numeri di telefono, oltre ai numeri di patente di 600mila autisti.
Come riportato dal New York Times, la giuria del tribunale di San Francisco ha condannato Sullivan per due capi d'accusa. Il primo per aver ostacolato la giustizia, non avendo rivelato la violazione all’agenzia statunitense per la tutela dei consumatori, la Federal trade commission (Ftc), e il secondo per depistaggio, ovvero l'occultamento di un reato alle autorità.
L’attacco del 2016 è avvenuto a seguito del ritrovamento su Github, sito usato dai programmatori informatici per condividere i codici sorgente dei programmi che stanno sviluppando, delle credenziali di accesso per lo storage di Amazon web services di Uber. Recuperate le credenziali, i cybercriminali hanno scaricato i backup dei database di Uber, per poi contattare l’azienda e ottenere un riscatto di 100mila dollari in bitcoin. I responsabili dell’attacco sono poi stati individuati e nel 2019 hanno ammesso di aver violato i database della compagnia.
Come osserva il New York Times, è la prima volta che un dirigente d'azienda affronta un'azione penale per un attacco informatico e la condanna di Sullivan potrebbe cambiare il modo in cui le aziende affrontano tali incidenti. I pubblici ministeri statunitensi hanno anche dimostrato come Sullivan abbia condiviso i dettagli dell’attacco e del pagamento del riscatto con amministratore delegato di Uber dell’epoca, Travis Kalanick, e con il responsabile per la tutela della privacy dell'azienda. Mentre non avrebbe rivelato alcun dettaglio al consulente legale di Uber, che poi non avrebbe comunicato la reale portata dell'incidente al nuovo amministratrice delgato, Dara Khosrowshahi .
Proprio sotto la nuova gestione di Khosrowshahi, Uber ha infine licenziato Sullivan, ha ammesso pubblicamente la violazione, ha pagato 148 milioni di dollari in danni agli utenti coinvolti dall’attacco e risolto il suo caso con i pubblici ministeri lo scorso luglio, promettendo piena collaborazione nel processo contro Sullivan. Il 16 settembre Khosrowshahi ha anche testimoniato contro di lui. Inoltre, nel 2018, dopo aver rivelato l’attacco, Uber ha stretto un accordo con la Ftc promettendo di implementare un programma di tutela della privacy per 20 anni e di "riferire alla Ftc di qualsiasi incidente informatico relativo alle informazioni personali di utenti e dipendenti”.
In base a quanto riportato da Bloomberg, secondo i procuratori Sullivan non avrebbe comunicato l'attacco alle autorità per proteggere la sua reputazione, in quanto avrebbe dovuto migliorare la sicurezza di Uber dopo essere entrato nella società nel 2015. Mentre gli avvocati di Sullivan, come riporta il New York Times, hanno sostenuto come “l'unico obiettivo del signor Sullivan - in questo incidente e in tutta la sua illustre carriera - è stato quello di garantire la sicurezza dei dati personali delle persone su Internet”. Ora Sullivan rischia fino a otto anni di carcere per aver ostacolato la giustizia, ma secondo quanto si legge su Bloomberg la pena potrebbe essere molto più breve.
(Fonte: Wired)