Федеральные прокуроры США предъявили обвинение бывшему главе информационной безопасности Uber Джо Салливану за сокрытие крупной утечки данных, которая произошла в 2016 году в этой, занимающейся пассажирскими перевозками, компании.
Согласно пресс-релизу, опубликованному министерством юстиции США, Салливан «предпринял преднамеренные шаги для сокрытия утечки и введения в заблуждение Федеральной торговой комиссии по поводу нарушения», которые также включали выплату хакерам выкупа в размере 100 000 долларов США для сохранения инцидента в тайне.
«В федеральный суд поступило уголовное дело, в котором Джозеф Салливан обвиняется в препятствии правосудию и совершении преступления в связи с попыткой сокрытия взлома «Uber Technologies» в 2016 году», - говорится в сообщении.
Утечка данных в 2016 году скомпрометировала ФИО, адреса электронной почты и телефонные номера 57 миллионов пассажиров и водителей Uber, а также номера водительских прав около 600 000 водителей.
Компания обнародовала эту информацию почти год спустя в 2017 году, сразу после того как Салливан уволился из Uber в ноябре.
Позже стало известно, что за инцидентом стоят два хакера, Брэндон Чарльз Гловер из Флориды и Василе Мереакре из Торонто, которым Салливан заплатил в обмен на обещания удалить украденные данные клиентов.
Все началось с того, что в 2016 году Салливан как представитель компании Uber отвечал на запросы Федеральной торговой комиссии относительно предыдущего инцидента с утечкой данных в 2014 году, и в это же время Брэндон и Василе связались с ним по поводу нового взлома.
«14 ноября 2016 года, примерно через 10 дней после дачи показаний в Федеральной торговой комиссии, Салливан получил от хакера электронное письмо, в котором сообщалось, что Убер снова был взломан».
«Команда Салливана смогла подтвердить инцидент в течение 24 часов после получения электронного письма. Вместо того, чтобы сообщить о нарушении в 2016 году, Салливан, как утверждается, предпринял преднамеренные шаги в целях сокрытия нарушения от Федеральной торговой комиссии».
Согласно судебным документам, выкуп был выплачен через bounty-программу в попытке замаскировать шантаж под видом вознаграждения для WhiteHat-хакеров, которые исследуют проблемы безопасности, но не компрометируют данные.
«Uber заплатил хакерам $100,000 в BitCoin в декабре 2016 года, несмотря на то, что хакеры отказались назвать свои настоящие имена (на тот момент)», - сообщили федеральные прокуроры. «Кроме того, Салливан потребовал от хакеров подписания соглашений о неразглашении информации. В соглашениях содержалось ложное утверждение о том, что хакеры не забирали и не хранили никаких данных».
«Более того, после того, как сотрудники Uber смогли идентифицировать двух лиц, ответственных за нарушение, Салливан организовал подписание хакерами новых копий соглашений о неразглашении на их подлинные имена. В новых соглашениях было сохранено ложное условие о том, что никаких данных ими получено не было. Новое руководство Uber в конце концов обнаружило правду, опубликовало факт нарушения и сообщило в Федеральную торговую комиссию в ноябре 2017 года».
Только в прошлом году оба хакера были признаны виновными по нескольким пунктам обвинения во взломе и шантаже Uber, LinkedIn и других американских корпораций.
В 2018 году британские и голландские регуляторы защиты данных также оштрафовали Uber на 1,1 миллиона долларов за неспособность защитить личную информацию клиентов во время кибератаки 2016 года.
Теперь, если Салливан будет признан виновным в сокрытии взлома, ему грозит до восьми лет тюремного заключения, а также возможный штраф до 500 000 долларов США.
Перевод сделан со статьи https://thehackernews.com/
