Uber’s Former CSO Charged With Covering Up A Hack and Paying $100K In Bitcoin

4. September 2020 crypto, expostos

Uber foi acusado de obstrução à justiça por encobrir um hack em 2016, no qual não contactou as autoridades, mas pagou aos hackers o resgate em Bitcoin.

O Departamento de Justiça dos EUA alegou que Joseph Sullivan, ex-Chefe de Segurança de Uber, encobriu um hack de 2016 na empresa que comprometeu os dados de milhões de usuários e motoristas. De acordo com o DOJ, Sullivan pagou aos hackers 100.000 dólares em Bitcoin.

Uber Ex-CSO Cobre um Hack?

O anúncio do DOJ informou sobre uma queixa recentemente apresentada contra a Sullivan, que serviu como CSO de Uber de abril de 2015 a novembro de 2017. Ele o acusou de „obstrução à justiça e erro de decisão de um crime em conexão com a tentativa de encobrir o hack up de 2016 da Uber Technologies Incorporated“.

Os hackers tinham contactado Sullivan na altura e revelaram que tinham acedido e descarregado uma base de dados Uber contendo informações de identificação pessoal (PII) associadas a quase 60 milhões de utilizadores e condutores de Uber. Esse banco de dados em particular incluía mais de 600.000 números de carteira de motorista de pessoas que dirigiam para a empresa.

Os hackers exigiram um pagamento de seis dígitos para não tornar pública a história e compartilhar os dados pessoais. De acordo com a queixa, Sullivan não contactou as autoridades competentes. Em vez disso, ele „tomou medidas deliberadas para esconder, desviar e enganar a Comissão Federal de Comércio sobre a violação“.

„O Vale do Silício não é o Oeste Selvagem. Esperamos uma boa cidadania corporativa. Esperamos a denúncia imediata de conduta criminosa. Esperamos cooperação com as nossas investigações. Não vamos tolerar encobrimentos corporativos. Não toleraremos pagamentos ilegais de dinheiro secreto.“ – disse o promotor David Anderson.

O Agente Especial Adjunto do FBI no Charge Craig Fair afirmou que as acções do Sullivan são um crime. Ele avisou outras empresas para não seguirem o seu exemplo, pois isso só agravará o problema para a empresa, para os clientes e para as autoridades.

Sullivan Pago em Bitcoin

A declaração do DOJ explicou que, em vez de chegar à FTC, Sullivan procurou pagar aos hackers, canalizando o resgate através de um programa de recompensa de bugs. Isto significa empregar um terceiro intermediário para organizar todo o processo de pagamento.

Por fim, Uber pagou aos hackers $100.000 em Bitcoin em dezembro de 2016, apesar dos atacantes se recusarem a revelar seus verdadeiros nomes. Sullivan exigiu que eles assinassem acordos de não divulgação contendo uma falsa representação de que os hackers não levaram ou armazenaram nenhum dado valioso.

Mesmo quando dois dos hackers foram expostos e presos, ele conseguiu que eles assinassem novas cópias dos acordos de não divulgação em seus nomes reais. Os novos acordos mantiveram a falsa condição de que nenhum dado tinha sido obtido no hack.

Se condenado, Sullivan poderia enfrentar uma pena legal máxima de cinco anos de prisão para a acusação de obstrução e um máximo de três anos de prisão para a acusação de erro judiciário.