Una giuria del tribunale federale degli Stati Uniti ha ritenuto l’ex Chief Security Officer di Uber, Joseph Sullivan, colpevole di non aver rivelato una violazione dei dati di clienti e dei conducenti del 2016 alle autorità di regolamentazione e di aver tentato di nascondere l’incidente.
Cosa rischia, ordunque, l’ex capo della sicurezza informatica di Uber?
Sullivan è stato condannato per due capi d’accusa: in primo luogo per aver ostacolato la giustizia non denunciando l’incidente e un in secondo luogo per complicità di reato.
Rischia fino ad un massimo di cinque anni di reclusione per l’accusa di ostruzione alla giustizia (la prima) e un massimo di tre anni per la seconda.
“Le aziende tecnologiche nel distretto settentrionale della California raccolgono e archiviano grandi quantità di dati dagli utenti“, ha affermato il procuratore americano Stephanie M. Hinds in un comunicato stampa.
E aggiunge. “Ci aspettiamo che le società proteggano quei dati e avvisino i clienti e le autorità competenti quando tali dati vengono rubati dagli hacker. Sullivan ha lavorato duramente per nascondere la violazione dei dati dalla Federal Trade Commission e ha adottato misure per impedire che gli hacker venissero catturati“.
Com’è cominciato tutto, quindi?
L’hacking di Uber nel 2016 si è verificato a seguito dell’accesso non autorizzato ai backup del database dell’azienda da parte di due hacker, spingendo l’azienda a pagare segretamente un riscatto di $ 100.000 nel dicembre 2016 in cambio dell’eliminazione delle informazioni rubate (sostanzialmente qualcosa di simile ad un ransomware).
Uber ha anche chiesto agli estorsionisti di firmare un accordo di non divulgazione nel tentativo di far passare l’irruzione come una ricompensa per il bug. I backup contenevano dati appartenenti a 50 milioni di utenti Uber e 7 milioni di conducenti.
A complicare ulteriormente le cose, l’incidente si è verificato quando il Dipartimento di Giustizia degli Stati Uniti e la Federal Trade Commission (FTC) stavano già indagando sulla società per un’altra violazione dei dati avvenuta il 13 maggio 2014.
Nel febbraio 2015, l’azienda di guidatori ha rivelato che a uno dei suoi database era stato effettuato un accesso anomalo non identificato a seguito di una potenziale compromissione di una delle chiavi di crittografia, con conseguente esposizione di nomi e numeri di licenza di circa 50.000 conducenti.
L’incidente, tuttavia, è stato scoperto solo l’anno seguente: esattamente il 14 settembre 2016.
“Dopo aver ingannato i consumatori sulle sue pratiche di privacy e sicurezza, Uber ha aggravato la sua cattiva condotta non informando la Commissione di aver subito un’altra violazione dei dati nel 2016 mentre la Commissione stava indagando sulla violazione sorprendentemente simile del 2014 dell’azienda“, ha fatto notare la FTC nel 2018.
Il DoJ (dipartimento di giustizia degli stati uniti, Departement of Justice) ha affermato che Sullivan ha svolto un ruolo cruciale nel plasmare la risposta di Uber all’FTC in merito alla violazione del 2014, con l’imputato che ha testimoniato sotto giuramento il 4 novembre 2016, sul numero di passaggi che ha affermato che la società aveva intrapreso per proteggere i dati degli utenti (protezione di fatto non avvenuta).
Ma dopo aver capito che Uber era stato nuovamente compromessa, solo dieci giorni dopo la sua testimonianza dell’FTC, l’agenzia ha affermato che “Sullivan ha complottato per impedire che tale violazione raggiungesse l’FTC” invece di scegliere di divulgare la questione alle autorità competenti.
I pubblici ministeri federali hanno accusato Sullivan anche di aver mentito all’amministratore delegato di Uber, Dara Khosrowshahi, e agli avvocati esterni della società che indagavano sull’incidente del 2016, affermando che la “verità sulla violazione” è finalmente venuta alla luce nel novembre 2017.
Come se non bastasse, Travis Kalanick, co-fondatore e poi CEO di Uber, che si è dimesso dalla società nel giugno 2017, avrebbe approvato la strategia di Sullivan per gestire l’intrusione non autorizzata. Kalanick, tuttavia, non è stato accusato.
In una dichiarazione pubblicata dal New York Times, il team legale di Sullivan ha dichiarato che il suo unico obiettivo nel corso dell’incidente e della sua carriera professionale è stato quello di garantire la “sicurezza dei dati personali delle persone su Internet”.
Com’è andata a finire?
Lo sviluppo, che segna la prima volta che un dirigente di un’azienda senior ha affrontato accuse penali per una violazione dei dati, arriva mentre i due hacker coinvolti nell’incidente del 2016 attendono la condanna per le loro accuse di cospirazione per frode dopo aver confessato il crimine nell’ottobre 2019.
“Le dichiarazioni di colpevolezza separate presentate dagli hacker dimostrano che dopo che Sullivan ha contribuito a nascondere l’hacking di Uber, gli hacker sono [successivamente] stati in grado di commettere un’ulteriore intrusione in un’altra azienda – Lynda.com – e tentare di riscattare anche quei dati“, ha sottolineato il DoJ.
Nonostante il fatto che i le violazioni alla sicurezza del 2014 e del 2016 siano venute a galla solo ora, Uber è stato messo sotto i riflettori il mese scorso per quando i suoi sistemi sono stati violati per la terza volta in un hack che da allora ha collegato al gruppo di criminalità informatica LAPSUS$.
Lo scorso luglio, Uber ha anche concordato con il DoJ di pagare 148 milioni di dollari e ha accettato di “implementare un programma di integrità aziendale, misure di sicurezza specifiche per la sicurezza dei dati e piani di risposta agli incidenti e di notifica delle violazioni dei dati, insieme a valutazioni biennali“.
“Il messaggio nel verdetto di colpevolezza di oggi è chiaro: le aziende che archiviano i dati dei propri clienti hanno la responsabilità di proteggere tali dati e fare la cosa giusta quando si verificano violazioni“, ha affermato l’agente speciale dell’FBI di San Francisco Robert K. Tripp.
