Em um caso sem precedentes, um ex-chefe de segurança do Uber foi acusado criminalmente nesta quinta-feira, 20, de tentar encobrir uma invasão hacker de 2016 que expôs informações pessoais de cerca de 57 milhões de clientes e motoristas da empresa.
O Departamento de Justiça dos Estados Unidos acusou Joseph Sullivan, de 52 anos, de obstrução de justiça, dizendo que ele tomou "medidas deliberadas" para impedir que a Comissão Federal de Comércio (FTC) soubesse sobre o ataque, enquanto a agência monitorava a segurança do Uber após uma violação anterior.
Acredita-se que o caso seja a primeira vez em que um oficial de segurança da informação corporativa é acusado de ocultar uma invasão.
Sullivan, que também é ex-promotor federal, providenciou o pagamento de US$ 100 mil aos hackers de acordo com o programa do Uber para recompensar os pesquisadores de segurança que relatassem falhas. Esse valor foi de longe o maior que o Uber pagou por meio do programa de recompensas, que não tinha como objetivo cobrir o roubo de dados confidenciais.
Sullivan, que chegou a ser chefe de segurança no Facebook, agora trabalha como diretor de segurança da informação da Cloudflare.
Em entrevistas anteriores, a equipe de segurança disse que o pagamento do Uber tinha o objetivo de forçar os hackers a aceitar o dinheiro e garantir que os dados, especialmente as informações da carteira de motorista dos contratados do Uber, fossem destruídos.
A reclamação diz que Sullivan fez com que os hackers assinassem acordos de não divulgação que afirmavam, de maneira falsa, que não haviam roubado dados. Foi alegado que o então presidente executivo do Uber, Travis Kalanick, estava ciente das ações de Sullivan.
Uma porta-voz de Kalanick não quis comentar. Um porta-voz de Sullivan disse que as acusações não tinham mérito, que Sullivan havia trabalhado com seus colegas no caso e que as questões de divulgação foram decididas pelo departamento jurídico.
“Se não fosse pelos esforços de Sullivan e de sua equipe, é provável que os indivíduos responsáveis por este incidente nunca tivessem sido identificados”, disse o porta-voz Brad Williams.
O sucessor de Kalanick como presidente — o atual chefe do Uber Dara Khosrowshahi — revelou a recompensa e, em seguida, demitiu Sullivan e um substituto após saber a extensão da violação. O Uber então pagou US$ 148 milhões para liquidar reivindicações de todos os 50 estados dos EUA e de Washington, de que demorou muito para revelar a invasão.
O caso do Uber terá eco para o número crescente de empresas que lidam diretamente com hackers. Muitas delas têm programas de recompensa como o Uber, que geralmente são vistos como uma ferramenta para melhorar a segurança e fornecer um incentivo para que os hackers permaneçam dentro da lei. Mas alguns participantes não seguem as regras.
No caso do Uber, observou o FBI, os dois principais hackers atacaram outras empresas, o que a agência disse que poderia ter sido evitado se Sullivan tivesse ido primeiro à polícia. Ambos se declararam culpados e aguardam sentença.
O caso também sugere que as empresas que pagam hackers para se livrar de ransomware, programas maliciosos que criptografam seus arquivos, não estão isentas da obrigação de relatar perdas de informações pessoais confidenciais.
