Los fiscales federales de Estados Unidos acusaron al ex director de seguridad de Uber, Joe Sullivan, por encubrir una violación masiva de datos que sufrió la empresa en 2016.
Según el comunicado de prensa publicado por el Departamento de Justicia de Estados Unidos, Sullivan «tomó medidas deliberadas para ocultar, desviar y engañar a la Comisión Federal de Comercio sobre la violación», que también implicó pagar a los hackers un rescate de 100 mil dólares para mantener el incidente en secreto.
«Hoy se presentó una denuncia penal en un tribunal federal que acusa a Joseph Sullivan de obstrucción de la justicia y comisión de un delito grave en relación con el intento de encubrimiento del hackeo de Uber Technologies en 2016», dice el comunicado.
La violación de datos de Uber de 2016 expuso nombres, direcciones de correo electrónico, números de teléfono de 57 millones de usuarios y conductores de Uber, y números de licencias de conducir de alrededor de 600 mil conductores.
La compañía reveló la información al público casi un año después en 2017, inmediatamente después de que Sullivan dejara su trabajo en Uber.
Después se informó que dos piratas informáticos, Brandon Charles Glover, de Florida, y Vasile Mereacre de Toronto, estuvieron detrás del incidente a quienes Sullivan aprobó pagar dinero a cambio de promesas de eliminar los datos de los clientes.
Todo comenzó cuando Sullivan, como representante de Uber, en 2016 respondía a las consultas de la FTC sobre un incidente anterior de violación de datos ocurrido en 2014, y durante el mismo tiempo, Brandon y Vasile lo contactaron con respecto a la nueva violación de datos.
«El 14 de noviembre de 2016, aproximadamente 10 días después de dar su testimonio a la FTC, Sullivan recibió un correo electrónico de un hacker informándole que Uber había sido violado nuevamente».
«El equipo de Sullivan pudo confirmar la infracción dentro de las 24 horas posteriores a la recepción del correo electrónico. En lugar de informar la infracción de 2016, Sullivan supuestamente tomó medidas deliberadas para evitar que el conocimiento de la infracción llegara a la FTC».
Según los documentos judiciales, el monto del rescate se pagó a través de un programa de recompensas por errores en un intento de documentar el pago de chantaje como recompensa para los piratas informáticos, que supuestamente señalaron problemas de seguridad sin comprometer los datos.
«Uber pagó a los piratas informáticos 100 mil dólares en Bitcoin en diciembre de 2016, a pesar de que los hackers se negaron a proporcionar sus nombres verdaderos (en ese momento). Además, Sullivan buscó que los hackers firmaran acuerdos de no divulgación. Los acuerdos contenían una declaración falsa de que los hackers no tomaron ni almacenaron ningún dato», dijeron los fiscales federales.
Además, luego de que el personal de Uber pudo identificar a dos de los responsables de la violación, Sullivan dispuso que los hackers firmaran copias nuevas de los acuerdos de no divulgación con sus nombres verdaderos. Los nuevos acuerdos mantuvieron la condición falsa. La nueva administración de Uber finalmente descubrió la verdad y reveló la violación públicamente en noviembre de 2017.
El año pasado ambos piratas informáticos fueron declarados culpables de varios cargos por piratería y chantaje a Uber, LinkedIn y otras compañías estadounidenses.
En 2018, los reguladores de protección de datos británicos y holandeses también multaron a Uber con 1.1 millones de dólares por no proteger la información personal de sus clientes durante un ataque en 2016.
En caso de que Sullivan sea declarado culpable por cargos de encubrimiento, podría enfrentar hasta ocho años de prisión y posibles multas de hasta 500 mil dólares.