Em um veredito com implicações de longo alcance para os CISOs dos EUA, um júri federal de São Francisco condenou hoje o ex-chefe de segurança da Uber, Joe Sullivan, por ocultar em 2016 uma violação de dados e obstruir uma investigação da Comissão Federal de Comércio sobre Práticas de segurança da Uber. Sullivan estava no cargo há poucos meses quando dois hackers invadiram o servidor de armazenamento de dados do Uber na Amazon em outubro de 2016 e roubaram as informações pessoais de 57 milhões de usuários do aplicativo, incluindo nomes, números de telefone, endereços de e-mail e 600.000 números de carteira de motorista.
Veja isso
Veja como um hacker invadiu sistemas de TI do Uber
Hackers contam como invadiram a Uber em 2016
Os promotores dizem que a violação parecia terrível para Sullivan, que foi contratado para ajudar a empresa a reforçar sua segurança cibernética após uma violação semelhante em 2014, na qual um hacker acessou dados de clientes não criptografados armazenados no armazenamento de dados da Amazon da Uber usando uma chave que os engenheiros da Uber deixaram exposta no GitHub.
Depois que um dos hackers entrou em contato com o endereço de e-mail pessoal de Sullivan e exigiu um pagamento de seis dígitos, Sullivan e sua equipe de segurança decidiram tratar o incidente como se fosse uma recompensa de bug bounty e canalizaram um resgate de US$ 100.000 em bitcoins através do portal de bug bounty HackerOne. Vasile Mereacre, de Toronto, e Brandon Glover, da Flórida, se declararam culpados pelo hack em outubro de 2019.
Apenas 10 dias antes de os hackers entrarem em contato com ele, Sullivan deu um longo depoimento à Comissão Federal de Comércio sobre o progresso do Uber no reforço da segurança após a violação de 2014 como parte da investigação em andamento do regulador. Os promotores observam que, depois de saber sobre a violação, Sullivan observou que “pode jogar muito mal com base em afirmações anteriores” para a FTC e que ele “acabou de ser deposto sobre este tópico”.
O Uber demitiu Sullivan em 2017 e, em 2020, os promotores federais o acusaram de uma acusação de obstrução e uma acusação de detenção de um crime. Seu julgamento foi considerado o primeiro processo criminal de um executivo de uma empresa de tecnologia por uma violação de dados.
Os advogados de defesa de Sullivan dizem que ele não fez nenhum esforço para esconder a violação e que o departamento jurídico da Uber foi responsável por aconselhar sua equipe de segurança sobre se o incidente era reportável.
O CISO da Netskope para a Europa e Oriente Médio Neil Thacker fez o seguinte comentário sobre o assunto: “A comunidade internacional de CISOs tem observado esse caso muito de perto e formulado hipóteses sobre as repercussões há algum tempo. Há muito pouca dúvida entre meus colegas de que este caso foi sobre um grave erro de julgamento por parte de um CISO. Provavelmente nunca entenderemos completamente os complexos fatores e influências que levaram às suas decisões. Uma das maiores preocupações da comunidade é o reconhecimento da possível pressão que pode ter sido exercida por outras autoridades internas sobre o CISO, o que o levou a tomar aquelas decisões. Não saberemos as repercussões completas por algum tempo, mas acho que veremos vários CISOs (e aspirantes a CISOs) optando por decisões de carreira diferentes, com base neste último exemplo da carga de risco pessoal. E e podemos ver isso impactando ainda mais a crise de habilidades existente em segurança cibernética”.
