O Ministério Público dos Estados Unidos apresentou hoje num tribunal federal em São Francisco uma queixa por obstrução da justiça e ocultação de crime contra o ex chief security officer da Uber Technologies, Joseph Sullivan. Sullivan foi CSO entre abril de 2015 e novembro de 2017. Durante esse tempo, dois hackers contataram Sullivan por e-mail e exigiram um pagamento de seis dígitos em troca de silêncio. Os hackers finalmente revelaram que eles acessaram e baixaram um banco de dados do Uber contendo informações de identificação pessoal, ou PII, associadas a aproximadamente 57 milhões de usuários e motoristas do Uber. O banco de dados incluía os números das carteiras de motorista de aproximadamente 600.000 pessoas que dirigiam para o Uber. A queixa criminal alega que Sullivan tomou medidas deliberadas para ocultar, desviar e enganar a Federal Trade Commission sobre a violação.
Num vídeo publicado pelo tribunal, o procurador Dave Anderson, titular do Distrito Norte da Califórnia, explicou que em 2016, enquanto Sullivan estava no Uber, hackers acessaram e baixaram um banco de dados contendo as informações pessoais de aproximadamente 57 milhões de usuários e motoristas. Segundo ele, a invasão ocorreu em um momento precário para a empresa porque ela estava enfrentando naquele momento uma investigação da FTC, a Federal Trade Commission, em resposta a uma invasão ocorrida dois anos antes, em 2014. Em vez de revelar prontamente a invasão de 2016, Sullivan conseguiu encobrir tudo fazendo com que a Uber pagasse aos hackers US$ 100 mil em bitcoins.
Veja isso
Uber Eats tem vazamento de dados exposto na dark web
Hackers vazam dados pessoais de 24 milhões de clientes da Experian
Sullivan, segundo o procurador, é acusado de obstrução da justiça e ocultação de um crime, e enfrenta uma pena máxima de oito anos de prisão. Em sua investigação, a FTC pedia respostas por escrito e pediu que o Uber designasse um funcionário para prestar testemunho sob juramento. Sullivan ajudou a preparar as respostas escritas do Uber e foi a pessoa que prestou o depoimento juramentado à FTC. Em 14 de novembro de 2016, dez dias após prestar seu testemunho à FTC, Sullivan soube da invasão de 2016 e não relatou o incidente. Em vez disso, escondeu o hack do público e da FTC. Sob a orientação de Sullivan, o Uber pagou aos hackers US$ 100.000 em bitcoin em troca da promessa de não contarem a ninguém sobre a invasão. Sullivan disfarçou o pagamento, chamando-o de recompensa por bug bounties.
O procurador afirma que o desespero de Sullivan para esconder o hack de 2016 “é revelado pelo tamanho do pagamento e pelo fato de que foi pago aos hackers antes mesmo que o Uber soubesse seus nomes verdadeiros. Após o pagamento, Sullivan revisou e aprovou declarações para a FTC que não revelaram o hack de 2016. Quando o uber contratou uma nova administração em 2017, Sullivan também os enganou. Apesar da decepção de Sullivan, a nova administração do Uber descobriu a verdade e o pagamento. Em 21 de novembro de 2017, o Uber divulgou a existência da invasão, desculpou-se por não tê-la revelado anteriormente e demitiu Sullivan.
A polícia descobriu os hackers, o tribunal os acusou e no ano passado eles se declararam culpados. Em sua confissão de culpa, admitiram ter invadido outras empresas usando técnicas semelhantes às usadas no hack do Uber. Segundo o promotor, “se Sullivan tivesse relatado prontamente o problema, esses outros hacks dessas outras empresas poderiam ter sido evitados”.